fix sign error

2026-02-09 23:46:52 +01:00
parent 62130d6e57
commit 51349ef93e
1 changed files with 17 additions and 19 deletions
--- a/.gitea/workflows/docker-builder.yml
+++ b/.gitea/workflows/docker-builder.yml
@@ -252,7 +252,8 @@ jobs:
          cosign version

      - name: Sign image
-        if: env.IS_TAG == 'true'
+        # Wir führen das aus, wenn gebaut wurde (egal ob Tag oder Main)
+        if: steps.check_files.outputs.should_build == 'true'
        shell: bash
        env:
          COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
@@ -260,27 +261,24 @@ jobs:
        run: |
          set -euo pipefail
          
-          # Image Name definieren
-          IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
-          echo "Signing image $IMAGE_TO_SIGN"
+          # Welches Image signieren wir? (Tag oder Main)
+          if [[ "$IS_TAG" == "true" ]]; then
+            IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
+          else
+            IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:main"
+          fi
          
-          # Den Private Key aus dem Secret in eine Datei schreiben (Cosign braucht das File)
+          echo "Signing image: $IMAGE_TO_SIGN"
+
+          # Key aus Secret wiederherstellen
          echo "$COSIGN_PRIVATE_KEY" > cosign.key

-          # Den Digest des Images holen (Sicherer als Tags)
-          # Wir nutzen hier docker inspect direkt auf das, was wir gerade gebaut haben
-          # Da wir Multiarch gebaut haben, müssen wir vorsichtig sein.
-          # Am sichersten ist es, den Digest remote vom Registry Server zu holen:
-          docker buildx imagetools inspect "${IMAGE_TO_SIGN}" --format '{{json .Manifest}}' > manifest.json
-          DIGEST=$(docker buildx imagetools inspect "${IMAGE_TO_SIGN}" --format '{{.Manifest.Digest}}')
+          # Signieren!
+          # --recursive: Signiert den Multi-Arch Index UND die darunterliegenden Images (amd64/arm64)
+          # --yes: Keine Rückfragen
+          # Wir übergeben hier direkt das Image mit Tag. Cosign holt sich den Digest selbst.
+          cosign sign --yes --recursive --key cosign.key "${IMAGE_TO_SIGN}"

-          echo "Signiere Digest: $DIGEST"
-
-          # Signieren (rekursiv für Multi-Arch)
-          # -y überspringt die Bestätigungsabfrage
-          # --key verweist auf die Datei, die wir oben aus dem Secret erstellt haben
-          cosign sign --yes --key cosign.key "${IMAGE_TO_SIGN}@${DIGEST}"
-
-          # Aufräumen (Key löschen, sicher ist sicher)
+          # Aufräumen
          rm cosign.key