NuGet 簽署的套件驗證

您可以簽署 NuGet 套件，讓套件取用者能夠驗證套件的真確性和完整性。 如果啟用驗證，.NET 就會在套件還原作業期間驗證簽署的套件，這將在套件取用者建置或執行專案時自動發生。

NuGet 套件簽章會以 X.509 憑證為基礎，為了進行簽署的套件驗證，有個必要條件是對程式碼簽署和時間戳記有效的憑證根存放區。

從 .NET 6.0.400 SDK 開始，NuGet 使用 .NET SDK 中隨附的憑證套件組合，來驗證無法使用適當系統根存放區的已簽署套件。 這些套件組合均源自 Microsoft 信任的根程式，且包含與 Windows 上的根存放區相同的程式碼簽署和時間戳記憑證。 這些憑證套件組合應該包含驗證來自 NuGet.org \(英文\) 之套件所需的所有根憑證。

某些 NuGet 命令 (例如 sign 和 verify) 一律會執行簽署的套件驗證。

下列各節會針對每個作業系統描述：

• 預設要在還原作業期間啟用隱含驗證的時機。
• 如何啟用。
• 使用哪些根存放區。

Windows

驗證一律會在套件還原作業期間啟用。

NuGet 會在 Windows 上使用預設根存放區，其已經支援一般用途的程式碼簽署和時間戳記。 不會使用 .NET SDK 憑證套件組合。 所有已簽署套件驗證功能都支援在 .NET SDK 版本引進的 Windows 上。

Linux

重要

雖然 .NET 5 SDK 中已新增已簽署的套件驗證功能，但在 .NET 6.0.400 SDK 之前，Linux 上不支援此功能。 請勿搭配 6.0.400 之前的 .NET SDK 版本使用已簽署的套件驗證。

在 .NET 8 SDK 之前，預設會在套件還原作業期間停用驗證。 若要選擇加入，請將 DOTNET_NUGET_SIGNATURE_VERIFICATION 環境變數設為 true。

從 .NET 8 SDK 開始，預設會啟用驗證。 若要選擇退出，請將 DOTNET_NUGET_SIGNATURE_VERIFICATION 環境變數設為 false。

針對程式碼簽署憑證驗證，NuGet 首先將在下列位置探查憑證套件組合：

/etc/pki/ca-trust/extracted/pem/objsign-ca-bundle.pem

如果找到了有效的憑證套件組合，NuGet 將偏好使用它而非 .NET SDK 的憑證套件組合來進行程式碼簽署。 如果它至少包含與 .NET SDK 憑證套件組合相同的根憑證組，則 NuGet 簽署的套件驗證應該會成功。 如果缺少根憑證 (例如 NuGet.org \(英文\) 上簽署的套件中所使用的憑證)，NuGet 簽署的套件驗證將會失敗，並顯示未受信任的狀態 (透過 NU3018 或 NU3028)。 將根憑證新增至此憑證套件組合可以啟用成功驗證；不過，請記住，此憑證套件組合是全系統的信任存放區，而 .NET SDK 憑證套件組合則會用來作為全應用程式的信任存放區。

如果在上述位置找不到有效的憑證套件組合，NuGet 將回復為使用 .NET SDK 的憑證套件組合進行程式碼簽署。

針對時間戳記憑證驗證，NuGet 一律會使用 .NET SDK 的憑證套件組合進行時間戳記。

macOS

預設會在套件還原作業期間停用驗證。 若要選擇加入，請將 DOTNET_NUGET_SIGNATURE_VERIFICATION 環境變數設為 true。 不過，建議您不要啟用驗證。 如需詳細資訊，請參閱 NuGet/Home#11985 \(英文\) 和 NuGet/Home#11986 \(英文\)。

NuGet 只會使用 .NET SDK 的憑證套件組合。

重要

雖然已在 .NET 5 SDK 中新增已簽署的套件驗證功能，但 macOS 目前不支援此功能。 請勿搭配 6.0.400 之前的 .NET SDK 版本使用已簽署的套件驗證。 預設將它保留為停用狀態。

另請參閱

• 簽署的套件驗證設計文件 \(英文\)
• 簽署的套件驗證技術規格 \(英文\)