From 9cf3393cd23990737e8f1235b013ec0730e73ec9 Mon Sep 17 00:00:00 2001
From: pi-farm <info@pi-farm.de>
Date: Tue, 10 Feb 2026 00:32:38 +0100
Subject: [PATCH] fix signature-tags

---
 .gitea/workflows/docker-builder.yml | 15 ++++++---------
 1 file changed, 6 insertions(+), 9 deletions(-)

diff --git a/.gitea/workflows/docker-builder.yml b/.gitea/workflows/docker-builder.yml
index ebe7420..f8a57dc 100644
--- a/.gitea/workflows/docker-builder.yml
+++ b/.gitea/workflows/docker-builder.yml
@@ -257,15 +257,14 @@ jobs:
         env:
           COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
           COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
-          # 1. Schaltet OCI 1.1 Referrers frei
           COSIGN_EXPERIMENTAL: "1"
-          # 2. Deaktiviert den Transparenz-Log (Rekor) global für diesen Step
-          # Das ist das moderne Äquivalent zu --tlog-upload=false
           COSIGN_SKIP_REKOR_UPLOAD: "true"
+          # DAS HIER IST DER TRICK:
+          # Wir verschieben die Signaturen in einen Unterordner
+          COSIGN_REPOSITORY: ${{ env.REGISTRY_HOST }}/${{ env.IMAGE_BASE }}/signatures
         run: |
           set -euo pipefail
           
-          # Image Name bestimmen
           if [[ "$IS_TAG" == "true" ]]; then
             IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
           else
@@ -275,10 +274,8 @@ jobs:
           echo "Signing image: $IMAGE_TO_SIGN"
           echo "$COSIGN_PRIVATE_KEY" > cosign.key
 
-          # Wir halten den Befehl so minimal wie möglich.
-          # Alle "Verbote" (kein Rekor) kommen oben aus den env-Variablen.
-          cosign sign --yes --recursive --key cosign.key \
-            --registry-referrers-mode oci-1-1 \
-            "${IMAGE_TO_SIGN}"
+          # Wir lassen das oci-1-1 Flag weg, da COSIGN_REPOSITORY 
+          # die sauberere Lösung für Gitea ist.
+          cosign sign --yes --recursive --key cosign.key "${IMAGE_TO_SIGN}"
 
           rm -f cosign.key
\ No newline at end of file