fix

.gitea/workflows/docker-builder.yml

@@ -257,12 +257,11 @@ jobs:
         env:
           COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
           COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
-          # Schaltet OCI 1.1 frei (für saubere Registry ohne Tags)
           COSIGN_EXPERIMENTAL: "1"
         run: |
           set -euo pipefail
           
-          # 1. Image Namen bestimmen
+          # 1. Image Name
           if [[ "$IS_TAG" == "true" ]]; then
             IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
           else
@@ -272,15 +271,16 @@ jobs:
           echo "Signing image: $IMAGE_TO_SIGN"
           echo "$COSIGN_PRIVATE_KEY" > cosign.key
 
-          # 2. Signieren
+          # 2. Konfiguration von Cosign selbst generieren lassen
-          # Wir nutzen --tlog-upload=false weiterhin, 
+          # Das erstellt eine gültige YAML/JSON ohne Rekor-Endpunkt
-          # aber wir lassen die neue Signing-Config weg, um den Media-Type-Fehler zu umgehen.
+          cosign signing-config create --rekor-url "" > signing-config.yaml
-          # Falls Cosign wegen der Deprecation meckert, ignorieren wir die Warnung, 
+
-          # solange es den Exit-Code 0 (Erfolg) gibt.
+          # 3. Signieren 
+          # WICHTIG: --tlog-upload=false MUSS weg, da es mit --signing-config kollidiert
           cosign sign --yes --recursive --key cosign.key \
-            --tlog-upload=false \
+            --signing-config signing-config.yaml \
             --registry-referrers-mode oci-1-1 \
             "${IMAGE_TO_SIGN}"
 
-          # 3. Aufräumen
+          # 4. Aufräumen
-          rm -f cosign.key
+          rm -f cosign.key signing-config.yaml