ARTIFACTORY:在ARTIFACTORY中管理和理解签名密钥

对于本文，我们希望了解用于签名和验证Artifactory生成的工件的使用和设置。Artifactory不会也不能为它没有创建的包签名。Artifactory为所有包生成自己的元数据文件，这样我们就可以为RPM和Debian存储库签名。

签署的元数据

在Artifactory ->安全->密钥管理下，我们可以从查找签名密钥选项卡开始。要创建和上传GPG密钥，可以查看文档．

那么，这到底能实现什么呢?对于RPM存储库，我们将需要导航到特定的存储库，并选择我们已经配置为在对Artifactory生成的元数据文件签名时使用的GPG密钥对。这样，一旦元数据生成，我们希望看到创建的Release文件，现在将看到签名的Release.gpg。这是Artifactory确认该发布文件没有从生成的元数据中以任何方式进行操作。

这同样适用于Debian。我们将为特定的存储库选择GPG密钥对，现在期望看到repodata.xml和新生成的repodata.xml.asc。

签署发布包

在相同的Keys Management页面下，我们需要将GPG Key添加到Public Keys选项卡。我们可以参考以下REST API，将私钥和公钥添加并传播到Distribution、源Artifactory和目标Edge节点(阅读更多）.

一旦我们添加了GPG密钥并将其传播到所有节点，我们就可以查看分发，在那里我们可以创建或创建并签署发布包。正如在我们的文档中提到的，如果我们生成带有密码短语的GPG密钥，我们将无法重新生成密码短语或恢复此密码短语。在丢失这个密码短语的情况下，我们将需要生成一个新的GPG密钥。