众所周知，如果用 GitHub 客户端或者在 GitHub 网页上操作 git 都会在 commits 中留下 Verified 的标记

这表示该 commit 是在 GitHub 上创建的，使用 GitHub 的 key 对这个提交进行了签名。但 GitHub 客户端或者 GitHub 网页并不是签名 commit 的唯一方法，我们也可以通过 GnuPG (GPG) 来签名我们的 commit。

安装GPG

GPG 是一个非常出色的加密软件，GitHub 支持多种 GPG 密钥算法。 如果您尝试添加使用不支持的算法生成的密钥，可能会发生错误。

• RSA
• ElGamal
• DSA数字签名算法
• ECDH
• ECDSA
• EdDSA

下载并安装适用于您的操作系统的 GPG 命令行工具。 一般来说，我们建议安装适用于您的操作系统的最新版本。

GPG 命令行工具的下载地址为www.gnupg.org

生成GPG密钥

打开 Git Bash，由于 GPG 有多个版本，所以生成命令也就不同。

• 如果您使用的是 2.1.17 或更高版本，请粘贴以下文本以生成 GPG 密钥对。

gpg --full-generate-key

• 如果使用的不是 2.1.17 或更高版本，请粘贴以下文本以生成 GPG 密钥对。

gpg --default-new-key-algo rsa4096 --gen-key

然后根据提示分别选择密钥算法，密钥长度，密钥的有效时长。输入完后验证一下你的选择是否正确，然后再输入你的用户ID信息。

要求您输入电子邮件地址时，请确保输入您 GitHub 帐户的经验证电子邮件地址。 要对电子邮件地址保密，请使用 GitHub 提供的 no-reply 电子邮件地址。

最后在弹出的对话框内输入密码即可。

设置Github及Git

使用 gpg --list-secret-key--keyid-form LONG 命令列出您拥有其公钥和私钥的 GPG 密钥。 签名提交或标记需要私钥。

Linux上的一些 GPG 安装可能需要使用 gpg2 —list-keyid-form LONG 查看您现有密钥的列表。 在这种情况下，您还需要运行 git config —global gpg.program gpg2 来配置 Git 使用 git gpg2。

从 GPG 密钥列表中复制您想要使用的 GPG 密钥 ID。在此例中，GPG 密钥 ID 是 38D5EE95AA9DFDF7

$ gpg --list-secret-keys --keyid-format LONG
/c/Users/***/.gnupg/pubring.kbx
---------------------------------
sec   rsa2048/38D5EE95AA9DFDF7 2020-03-01 
uid                 ***
ssb   rsa2048/68DFAA23DED8D3DF 2020-03-01 

粘贴下面的文本（替换为您要使用的 GPG 密钥 ID）。 在此例中，GPG 密钥 ID 是 38D5EE95AA9DFDF7

$ gpg --armor --export 3AA5C34371567BD2
# 以 ASCII 封装格式打印 GPG 密钥 ID

复制 GPG 密钥，从 -----BEGIN PGP PUBLIC KEY BLOCK-----开始，到 -----END PGP PUBLIC KEY BLOCK----- 结束

来到 GitHub 的设置页面的 SSH and GPG keys，点击 New GPG key

将刚刚复制的 GPG 公钥粘贴到对话框中，点击 Add GPG key.

然后设置一下 Git，让 Git 使用密钥来对 commit 进行签名

git config user.signingkey <密钥ID>

然后设置 Git 使用该密钥加密 commit

git config commit.gpgsign true

如果想要全局配置，分别在命令上加上 --global 就行了

至此以后你在这台计算机推送到 GitHub 的所有 commit 都带有 GPG 签名了