fix signature-tags

.gitea/workflows/docker-builder.yml

@@ -257,15 +257,14 @@ jobs:
         env:
           COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
           COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
-          # 1. Schaltet OCI 1.1 Referrers frei
           COSIGN_EXPERIMENTAL: "1"
-          # 2. Deaktiviert den Transparenz-Log (Rekor) global für diesen Step
-          # Das ist das moderne Äquivalent zu --tlog-upload=false
           COSIGN_SKIP_REKOR_UPLOAD: "true"
+          # DAS HIER IST DER TRICK:
+          # Wir verschieben die Signaturen in einen Unterordner
+          COSIGN_REPOSITORY: ${{ env.REGISTRY_HOST }}/${{ env.IMAGE_BASE }}/signatures
         run: |
           set -euo pipefail
           
-          # Image Name bestimmen
           if [[ "$IS_TAG" == "true" ]]; then
             IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
           else
@@ -275,10 +274,8 @@ jobs:
           echo "Signing image: $IMAGE_TO_SIGN"
           echo "$COSIGN_PRIVATE_KEY" > cosign.key
 
-          # Wir halten den Befehl so minimal wie möglich.
+          # Wir lassen das oci-1-1 Flag weg, da COSIGN_REPOSITORY 
-          # Alle "Verbote" (kein Rekor) kommen oben aus den env-Variablen.
+          # die sauberere Lösung für Gitea ist.
-          cosign sign --yes --recursive --key cosign.key \
+          cosign sign --yes --recursive --key cosign.key "${IMAGE_TO_SIGN}"
-            --registry-referrers-mode oci-1-1 \
-            "${IMAGE_TO_SIGN}"
 
           rm -f cosign.key