1.3. Tekton Chains でデータに署名するための秘密
クラスター管理者は、キーペアを生成し、Tekton Chains を使用して、Kubernetes シークレットでアーティファクトに署名できます。Tekton Chains が機能するには、暗号化されたキーの秘密鍵とパスワードが、openshift-pipelines
namespace の signing-secrets
シークレットの一部として存在している必要があります。
現在、Tekton Chains は x509
および cosign
署名スキームをサポートしています。
使用できるのは、サポートされている署名スキームのいずれか 1 つのみです。
Tekton Chains で x509
署名スキームを使用するには、ed25519
または ecdsa
型の x509.pem
秘密鍵を signing-secrets
Kubernetes シークレットに保存します。
1.3.1. cosign を使用した署名 リンクのコピーリンクがクリップボードにコピーされました!
cosign
署名ツールを使用すると、Tekton Chains で cosign
スキームを使用できます。
前提条件
- cosign ツールをインストールしている。
手順
次のコマンドを実行して、
cosign.key
とcosign.pub
キーのペアを生成します。cosign generate-key-pair k8s://openshift-pipelines/signing-secrets
$ cosign generate-key-pair k8s://openshift-pipelines/signing-secrets
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Cosign はパスワードの入力を求め、Kubernetes シークレットを作成します。
-
暗号化された
cosign.key
秘密鍵とcosign.password
復号化パスワードを、signing-secrets
Kubernetes シークレットに保存します。秘密鍵がENCRYPTED COSIGN PRIVATE KEY
型の暗号化された PEM ファイルとして保存されていることを確認します。
1.3.2. skopeo を使用した署名 リンクのコピーリンクがクリップボードにコピーされました!
skopeo
ツールを使用して鍵を生成し、Tekton Chains で cosign
署名スキームで使用できます。
前提条件
- skopeo ツールをインストールしている。
手順
次のコマンドを実行して、公開鍵と秘密鍵のペアを生成します。
skopeo generate-sigstore-key --output-prefix <mykey>
$ skopeo generate-sigstore-key --output-prefix <mykey>
1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<mykey>
を選択した鍵名に置き換えます。
Skopeo は秘密鍵のパスフレーズの入力を求め、
<mykey>.private
および<mykey>.pub
という名前の鍵ファイルを作成します。次のコマンドを実行し、
base64
ツールを使用して<mykey>.pub
ファイルをエンコードします。base64 -w 0 <mykey>.pub > b64.pub
$ base64 -w 0 <mykey>.pub > b64.pub
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行し、
base64
ツールを使用して<mykey>.private
ファイルをエンコードします。base64 -w 0 <mykey>.private > b64.private
$ base64 -w 0 <mykey>.private > b64.private
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次のコマンドを実行し、
base64
ツールを使用してパスフレーズをエンコードします。echo -n '<passphrase>' | base64 -w 0 > b64.passphrase
$ echo -n '<passphrase>' | base64 -w 0 > b64.passphrase
1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
<passphrase>
を鍵ペアに使用したパスフレーズに置き換えます。
次のコマンドを実行して、
openshift-pipelines
namespace にsigned-secrets
シークレットを作成します。oc create secret generic signing-secrets -n openshift-pipelines
$ oc create secret generic signing-secrets -n openshift-pipelines
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のコマンドを実行して
signing-secrets
シークレットを編集します。oc edit secret -n openshift-pipelines signing-secrets
$ oc edit secret -n openshift-pipelines signing-secrets
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次の方法で、エンコードされた鍵をシークレットのデータに追加します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.3.3. "secret already exists" エラーの解決 リンクのコピーリンクがクリップボードにコピーされました!
signed-secret
シークレットがすでに入力されている場合、このシークレットを作成するコマンドは次のエラーメッセージを出力する可能性があります。
Error from server (AlreadyExists): secrets "signing-secrets" already exists
Error from server (AlreadyExists): secrets "signing-secrets" already exists
このエラーは、シークレットを削除することで解決できます。
手順
次のコマンドを実行して、
signing-secret
シークレットを削除します。oc delete secret signing-secrets -n openshift-pipelines
$ oc delete secret signing-secrets -n openshift-pipelines
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 鍵ペアを再作成し、任意の署名スキームを使用してシークレットに保存します。