第4章 コンテナーイメージへの署名

手順

1. OpenShift クラスターにログインします。

   構文

   oc login --token=TOKEN --server=SERVER_URL_AND_PORT

   例

   oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443

   注記

   コマンドラインログイントークンと URL を確認するには、OpenShift Web コンソール にログインします。ユーザー名をクリックし、Copy login command をクリックします。プロンプトが表示されたら、ユーザー名とパスワードを再度入力し、Display Token をクリックします。

2. RHTAS にログインします。コンテナーイメージに署名して検証するには、RHTAS シェル環境を必ず設定してください。以下に例を示します。

   Copy to Clipboard Toggle word wrap

   cd sigstore-ocp
   source tas-env-variables.sh

   環境変数を手動で設定する方法もあります。以下に例を示します。

   Copy to Clipboard Toggle word wrap

   export OPENSHIFT_APPS_SUBDOMAIN=apps.$(oc get dns cluster -o jsonpath='{ .spec.baseDomain }')
   export OIDC_AUTHENTICATION_REALM=sigstore
   export FULCIO_URL=https://fulcio.$OPENSHIFT_APPS_SUBDOMAIN
   export OIDC_ISSUER_URL=https://keycloak-keycloak-system.$OPENSHIFT_APPS_SUBDOMAIN/auth/realms/$OIDC_AUTHENTICATION_REALM
   export REKOR_URL=https://rekor.$OPENSHIFT_APPS_SUBDOMAIN
   export TUF_URL=https://tuf.$OPENSHIFT_APPS_SUBDOMAIN

   例

   Copy to Clipboard Toggle word wrap

   $ source ./tas-env-vars.sh

3. oc logout コマンドを実行して、OpenShift クラスターからログアウトします。
4. 署名およびアテストするコンテナーイメージを特定します (例: IMAGE=quay.io/lucarval/rhtas-test@sha256:6b95efc134c2af3d45472c0a2f88e6085433df058cc210abb2bb061ac4d74359)。
5. パブリックの Sigstore デプロイメントではなく、Red Hat Trusted Artifact Signer を使用してコンテナーイメージに署名およびアテストすることを RHTAP に指定します。cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.json コマンドを入力します。

6. 次のコマンドを使用してコンテナーイメージに署名します。

   Copy to Clipboard Toggle word wrap

   cosign sign -y --fulcio-url=$FULCIO_URL --rekor-url=$REKOR_URL \
        --oidc-issuer=$OIDC_ISSUER_URL $IMAGE

7. プロンプトが表示されたら、RHTAS をインストールしたときに RHTAP によってインストールされた Keycloak インスタンスにログインします。これは、Keycloak がユーザーを認証できるようにするためです。

1. SLSA の来歴アテステーションを作成し、コンテナーイメージに関連付けます。
2. Red Hat Enterprise Contract でコンテナーイメージを検証します。