Red Hat Summit2.3. 証明書と鍵のローテーション
システム管理者は、Red Hat OpenShift 上で実行されている Red Hat Trusted Artifact Signer (RHTAS) サービスで使用される証明書と署名者鍵をプロアクティブにローテーションできます。定期的に鍵をローテーションすることで、鍵の改ざんや盗難を防ぐことができます。これらの手順では、古い証明書と署名者鍵を期限切れにし、RHTAS を設定する基盤となるサービス用の新しい証明書と署名者鍵に置き換える手順を説明します。次のサービスの鍵と証明書をローテーションできます。
- Rekor
- Certificate Transparency ログ
- Fulcio
- タイムスタンプ機関
2.3.1. Rekor 署名者鍵のローテーション
シャーディング機能を使用してログツリーをフリーズし、新しい署名者鍵を使用して新しいログツリーを作成することで、Rekor の署名者鍵を積極的にローテーションできます。この手順では、古い Rekor 署名者鍵を期限切れにし、Red Hat Trusted Artifact Signer (RHTAS) が使用する新しい署名者鍵に置き換える手順を説明します。古い Rekor 署名者鍵の有効期限が切れても、古い鍵で署名されたアーティファクトを検証することは可能です。
この手順では、Rekor サービスを停止する必要があります。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから
rekor-cliバイナリーをワークステーションにダウンロードします。Web ブラウザーを開き、CLI サーバーの Web ページに移動します。
注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。- ダウンロードページから rekor-cli ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルから、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip rekor-cli-amd64.gz chmod +x rekor-cli-amd64
gunzip rekor-cli-amd64.gz chmod +x rekor-cli-amd64Copy to Clipboard Copied! Toggle word wrap Toggle overflow バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cliCopy to Clipboard Copied! Toggle word wrap Toggle overflow
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルから、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64
gunzip tuftool-amd64.gz chmod +x tuftool-amd64Copy to Clipboard Copied! Toggle word wrap Toggle overflow バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
sudo mv tuftool-amd64 /usr/local/bin/tuftoolCopy to Clipboard Copied! Toggle word wrap Toggle overflow
シェル変数をベースホスト名と Rekor URL に割り当てます。
例
export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export REKOR_URL=https://rekor.${BASE_HOSTNAME}export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export REKOR_URL=https://rekor.${BASE_HOSTNAME}Copy to Clipboard Copied! Toggle word wrap Toggle overflow BASE_HOSTNAME_OF_RHTAS_SERVICE は
tas_single_node_base_hostname変数の値に置き換えます。アクティブシャードのログツリー識別子を取得します。
例
export OLD_TREE_ID=$(rekor-cli loginfo --rekor_server $REKOR_URL --format json | jq -r .TreeID)
export OLD_TREE_ID=$(rekor-cli loginfo --rekor_server $REKOR_URL --format json | jq -r .TreeID)Copy to Clipboard Copied! Toggle word wrap Toggle overflow シェル環境を設定します。
例
export MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]')export MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]')Copy to Clipboard Copied! Toggle word wrap Toggle overflow IP_OF_ANSIBLE_MANAGED_NODE と USER_TO_CONNECT_TO_MANAGED_NODE をご使用の環境の値に置き換えます。
ログツリーを
DRAINING状態に設定します。例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --admin_server=trillian-logserver-pod:8091 --tree_id=${OLD_TREE_ID} --tree_state=DRAINING"ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --admin_server=trillian-logserver-pod:8091 --tree_id=${OLD_TREE_ID} --tree_state=DRAINING"Copy to Clipboard Copied! Toggle word wrap Toggle overflow ツリーログは、ドレイン中に新しいエントリーを受け入れません。キューが空になるまで待ちます。
重要次のステップに進む前に、キューが空になるまで待つ必要があります。ドレイン中にリーフがまだ統合中の場合、このプロセス中にログツリーをフリーズすると、ログパスが最大マージ遅延 (MMD) しきい値を超える可能性があります。
ログツリーをフリーズします。
例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=FROZEN"ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=FROZEN"Copy to Clipboard Copied! Toggle word wrap Toggle overflow フリーズしたログツリーの長さを取得します。
例
export OLD_SHARD_LENGTH=$(rekor-cli loginfo --rekor_server $REKOR_URL --format json | jq -r .ActiveTreeSize)
export OLD_SHARD_LENGTH=$(rekor-cli loginfo --rekor_server $REKOR_URL --format json | jq -r .ActiveTreeSize)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 古いシャードの Rekor の公開鍵を取得します。
例
export OLD_PUBLIC_KEY=$(curl -s $REKOR_URL/api/v1/log/publicKey | base64 | tr -d '\n')
export OLD_PUBLIC_KEY=$(curl -s $REKOR_URL/api/v1/log/publicKey | base64 | tr -d '\n')Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しいログツリーを作成します。
例
export NEW_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run -q --network=rhtas --rm registry.redhat.io/rhtas/createtree-rhel9:1.1.0 --logtostderr=false --admin_server=trillian-logserver-pod:8091 --display_name=rekor-tree | tr -d '[:punct:][:blank:][:cntrl:]'")export NEW_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run -q --network=rhtas --rm registry.redhat.io/rhtas/createtree-rhel9:1.1.0 --logtostderr=false --admin_server=trillian-logserver-pod:8091 --display_name=rekor-tree | tr -d '[:punct:][:blank:][:cntrl:]'")Copy to Clipboard Copied! Toggle word wrap Toggle overflow これで、ログツリーが 2 つ、フリーズしたツリーが 1 つ、およびアクティブなシャードになる新しいツリーが 1 つできました。
新しい秘密鍵と関連する公開鍵を作成します。
例
openssl ecparam -genkey -name secp384r1 -noout -out new-rekor.pem openssl ec -in new-rekor.pem -pubout -out new-rekor.pub export NEW_KEY_NAME=new-rekor.pub
openssl ecparam -genkey -name secp384r1 -noout -out new-rekor.pem openssl ec -in new-rekor.pem -pubout -out new-rekor.pub export NEW_KEY_NAME=new-rekor.pubCopy to Clipboard Copied! Toggle word wrap Toggle overflow 重要新しい鍵には一意のファイル名が必要です。
アクティブな Rekor 署名鍵を取得し、その鍵をファイルに保存します。
例
rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/rekor-signer0.key ./rekor-signer0.key echo "$OLD_PUBLIC_KEY" | base64 -d > rekor.pubrsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/rekor-signer0.key ./rekor-signer0.key echo "$OLD_PUBLIC_KEY" | base64 -d > rekor.pubCopy to Clipboard Copied! Toggle word wrap Toggle overflow RHTAS Ansible Playbook で Rekor 設定を更新します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい Rekor 公開鍵を使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow アクティブな Rekor 署名者キーファイル名に環境変数を割り当てます。
例
export ACTIVE_KEY_NAME=rekor.pub
export ACTIVE_KEY_NAME=rekor.pubCopy to Clipboard Copied! Toggle word wrap Toggle overflow 古い Rekor 署名者鍵を期限切れにします。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい Rekor 署名者鍵を追加します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repotar -C "${WORK}" -czvf repository.tar.gz tuf-repoCopy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい圧縮アーカイブファイル名を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 作業ディレクトリーを削除します。
例
rm -r $WORK
rm -r $WORKCopy to Clipboard Copied! Toggle word wrap Toggle overflow
変更を適用するには、RHTAS Ansible Playbook を実行します。
例
ansible-playbook -i inventory play.yml
ansible-playbook -i inventory play.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.json
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow これで、新しい Rekor 署名者鍵を使用してアーティファクトに署名し、検証する準備が整いました。
2.3.2. Certificate Transparency ログ署名者アギのローテーション
シャーディング機能を使用してログツリーをフリーズし、新しい署名者鍵を使用して新しいログツリーを作成することにより、Certificate Transparency (CT) ログ署名者鍵をプロアクティブにローテーションできます。この手順では、古い CT ログ署名者鍵を期限切れにし、Red Hat Trusted Artifact Signer (RHTAS) が使用する新しい署名者鍵に置き換える手順を説明します。古い CT ログ署名者鍵の有効期限が切れても、古い鍵で署名されたアーティファクトを検証することは可能です。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64
gunzip tuftool-amd64.gz chmod +x tuftool-amd64Copy to Clipboard Copied! Toggle word wrap Toggle overflow バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
sudo mv tuftool-amd64 /usr/local/bin/tuftoolCopy to Clipboard Copied! Toggle word wrap Toggle overflow
シェル環境を設定します。
例
export MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]') export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICEexport MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]') export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICECopy to Clipboard Copied! Toggle word wrap Toggle overflow BASE_HOSTNAME_OF_RHTAS_SERVICE は
tas_single_node_base_hostname変数の値に置き換えます。CTlog configuration map、CTlog キー、および Fulcio ルート証明書をワークステーションにダウンロードします。
例
rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/configs/ctlog-config.yaml ./ctlog-config.yaml rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/ctlog0.key ./ctfe.key rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/ctlog0.pub ./ctfe.pub rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/fulcio.pem ./fulcio-0.pemrsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/configs/ctlog-config.yaml ./ctlog-config.yaml rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/ctlog0.key ./ctfe.key rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/ctlog0.pub ./ctfe.pub rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/fulcio.pem ./fulcio-0.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow 現在のツリー識別子を取得します。
例
export OLD_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo cat /etc/rhtas/configs/ctlog-treeid-config.yaml | grep 'tree_id:' | awk '{print \$2}'" | tr -d '[:punct:][:blank:][:cntrl:]')export OLD_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo cat /etc/rhtas/configs/ctlog-treeid-config.yaml | grep 'tree_id:' | awk '{print \$2}'" | tr -d '[:punct:][:blank:][:cntrl:]')Copy to Clipboard Copied! Toggle word wrap Toggle overflow ログツリーを
DRAINING状態に設定します。例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=DRAINING"ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=DRAINING"Copy to Clipboard Copied! Toggle word wrap Toggle overflow ツリーログは、ドレイン中に新しいエントリーを受け入れません。キューが空になるまで待ちます。
重要次のステップに進む前に、キューが空になるまで待つ必要があります。ドレイン中にリーフがまだ統合中の場合、このプロセス中にログツリーをフリーズすると、ログパスが最大マージ遅延 (MMD) しきい値を超える可能性があります。
キューが完全に空になったら、ログをフリーズします。
例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=FROZEN"ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=FROZEN"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい Merkle ツリーを作成し、新しいツリー識別子を取得します。
例
export NEW_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run -q --network=rhtas --rm registry.redhat.io/rhtas/createtree-rhel9:1.1.0 --logtostderr=false --admin_server=trillian-logserver-pod:8091 --display_name=ctlog-tree" | tr -d '[:punct:][:blank:][:cntrl:]')export NEW_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run -q --network=rhtas --rm registry.redhat.io/rhtas/createtree-rhel9:1.1.0 --logtostderr=false --admin_server=trillian-logserver-pod:8091 --display_name=ctlog-tree" | tr -d '[:punct:][:blank:][:cntrl:]')Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい証明書と新しい公開鍵および秘密鍵を生成します。
例
openssl ecparam -genkey -name prime256v1 -noout -out new-ctlog.pem openssl ec -in new-ctlog.pem -pubout -out new-ctlog-public.pem openssl ec -in new-ctlog.pem -out new-ctlog.pass.pem -des3 -passout pass:"CHANGE_ME"
openssl ecparam -genkey -name prime256v1 -noout -out new-ctlog.pem openssl ec -in new-ctlog.pem -pubout -out new-ctlog-public.pem openssl ec -in new-ctlog.pem -out new-ctlog.pass.pem -des3 -passout pass:"CHANGE_ME"Copy to Clipboard Copied! Toggle word wrap Toggle overflow CHANGE_ME は、新しいパスワードに置き換えます。
重要証明書と新しい鍵には一意のファイル名が必要です。
CT ログ設定を更新します。
- RHTAS Ansible Playbook を開いて編集します。
CTlog 署名者キーのローテーションを初めて設定する場合は、
tas_single_node_ctlog.sharding_configセクションに以下を追加する必要があります。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow OLD_TREE_ID は、
$OLD_TREE_ID環境変数に含まれる内容に置き換えます。注記date +%s、およびdate +%Nのコマンドを実行すると、秒とナノ秒の現在の時刻値を取得できます。重要not_after_limitフィールドは、フリーズされたログだけのタイムスタンプ範囲の終了を定義します。この時点以降の証明書は、このログに含めることができなくなります。-
フリーズされたログブロックをコピーして貼り付け、
tas_single_node_ctlog.sharding_configセクションに追加して、新しいエントリーを作成します。 新しいログブロック内の次の行を変更します。
treeidを新しいツリー識別子に設定します。prefixはtrusted-artifact-signerに、private_keyパスはprivate-1に、not_after_limitはnot_after_startに変更してタイムスタンプの範囲を設定し、Fulcio が新しいログを利用できるようにtas_single_node_fulcio.ct_log_prefixを更新します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow CHANGE_ME は、新しい秘密鍵のパスワードに置き換えます。ここでのパスワードは、新しい秘密鍵と公開鍵を生成するために使用したパスワードと同じものに指定する必要があります。
重要not_after_startフィールドは、タイムスタンプ範囲の開始 (開始地点を含む) を定義します。これは、この時点でログが証明書の受け入れを開始することを意味します。
CTlog の
tas_single_node_ctlogセクションを更新して、新しいキーを管理対象ノードに配布します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい CT ログ公開鍵を使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow アクティブな CT ログ署名者キーファイル名に環境変数を割り当てます。
例
export ACTIVE_CTFE_NAME=ctfe.pub
export ACTIVE_CTFE_NAME=ctfe.pubCopy to Clipboard Copied! Toggle word wrap Toggle overflow 古い CT ログ署名者鍵を期限切れにします。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい CT ログ署名者鍵を追加します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repotar -C "${WORK}" -czvf repository.tar.gz tuf-repoCopy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい圧縮アーカイブファイル名を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow - Playbook への変更を保存し、テキストエディターを閉じます。
RHTAS Ansible Playbook を実行して変更を適用します。
例
ansible-playbook -i inventory play.yml
ansible-playbook -i inventory play.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 作業ディレクトリーを削除します。
例
rm -r $WORK
rm -r $WORKCopy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.json
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow これで、新しい CT ログ署名者鍵を使用してアーティファクトに署名し、検証する準備が整いました。
2.3.3. Fulcio 証明書のローテーション
Fulcio サービスで使用される証明書をプロアクティブにローテーションできます。この手順では、古い Fulcio 証明書の有効期限を切れさせ、Red Hat Trusted Artifact Signer (RHTAS) が使用できるように新しい証明書に置き換える手順を説明します。古い Fulcio 証明書の有効期限が切れても、古い証明書で署名されたアーティファクトを検証することは可能です。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64
gunzip tuftool-amd64.gz chmod +x tuftool-amd64Copy to Clipboard Copied! Toggle word wrap Toggle overflow バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
sudo mv tuftool-amd64 /usr/local/bin/tuftoolCopy to Clipboard Copied! Toggle word wrap Toggle overflow
新しい証明書と新しい公開鍵および秘密鍵を生成します。
例
openssl ecparam -genkey -name prime256v1 -noout -out new-fulcio.pem openssl ec -in new-fulcio.pem -pubout -out new-fulcio-public.pem openssl ec -in new-fulcio.pem -out new-fulcio.pass.pem -des3 -passout pass:"CHANGE_ME" openssl req -new -x509 -key new-fulcio.pass.pem -out new-fulcio.cert.pem
openssl ecparam -genkey -name prime256v1 -noout -out new-fulcio.pem openssl ec -in new-fulcio.pem -pubout -out new-fulcio-public.pem openssl ec -in new-fulcio.pem -out new-fulcio.pass.pem -des3 -passout pass:"CHANGE_ME" openssl req -new -x509 -key new-fulcio.pass.pem -out new-fulcio.cert.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow CHANGE_ME は、新しいパスワードに置き換えます。
重要証明書と新しい鍵には一意のファイル名が必要です。
新しい秘密鍵ファイル名、新しい証明書の内容、およびパスワードを
tas_single_node_fulcio変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_fulcio: root_ca: "{{ lookup('file', 'new-fulcio.cert.pem') }}" private_key: "{{ lookup('file', 'new-fulcio.pass.pem') }}" ca_passphrase: CHANGE_MEtas_single_node_fulcio: root_ca: "{{ lookup('file', 'new-fulcio.cert.pem') }}" private_key: "{{ lookup('file', 'new-fulcio.pass.pem') }}" ca_passphrase: CHANGE_MECopy to Clipboard Copied! Toggle word wrap Toggle overflow CHANGE_ME は、新しいパスワードに置き換えます。
注記ここでのパスワードは、新しい秘密鍵と公開鍵を生成するために使用したパスワードと同じものに指定する必要があります。
注記パスフレーズはファイルから取得するか、Ansible Vault を使用して暗号化することを推奨します。
新しい Fulcio 証明書を使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow アクティブな Fulcio 証明書ファイル名を見つけます。ローカル TUF リポジトリー内の最新のターゲットファイル (例:
1.targets.json) を開きます。このファイルには、アクティブな Fulcio 証明書ファイル名 (例:fulcio_v1.crt.pem) が記載されています。このアクティブな Fulcio 証明書ファイル名で環境変数を設定します。例
export ACTIVE_CERT_NAME=fulcio_v1.crt.pem
export ACTIVE_CERT_NAME=fulcio_v1.crt.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow 管理対象ノードからアクティブな Fulico 証明書を取得します。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/fulcio.pem "${ACTIVE_CERT_NAME}"rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/fulcio.pem "${ACTIVE_CERT_NAME}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 古い証明書を期限切れにします。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい Fulcio 証明書を追加します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repotar -C "${WORK}" -czvf repository.tar.gz tuf-repoCopy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい圧縮アーカイブファイルの内容を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 作業ディレクトリーを削除します。
例
rm -r $WORK
rm -r $WORKCopy to Clipboard Copied! Toggle word wrap Toggle overflow
変更を適用するには、RHTAS Ansible Playbook を実行します。
例
ansible-playbook -i inventory play.yml
ansible-playbook -i inventory play.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.json
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow これで、新しい Fulcio 証明書を使用してアーティファクトに署名し、検証する準備が整いました。
2.3.4. タイムスタンプ機関の署名者鍵と証明書チェーンのローテーション
タイムスタンプ機関 (TSA) の署名者鍵と証明書チェーンをプロアクティブにローテーションできます。この手順では、古い TSA 署名者鍵と証明書チェーンを期限切れにし、Red Hat Trusted Artifact Signer (RHTAS) が使用できるように新しいものに置き換える手順を説明します。古い TSA 署名者鍵と証明書チェーンを期限切れにしても、古い鍵と証明書チェーンによって署名されたアーティファクトを検証することは可能です。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64
gunzip tuftool-amd64.gz chmod +x tuftool-amd64Copy to Clipboard Copied! Toggle word wrap Toggle overflow バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
sudo mv tuftool-amd64 /usr/local/bin/tuftoolCopy to Clipboard Copied! Toggle word wrap Toggle overflow
新しい証明書チェーンと新しい署名者鍵を生成します。
重要新しい証明書と鍵には一意のファイル名が必要です。
一時作業ディレクトリーを作成します。
例
mkdir certs && cd certs
mkdir certs && cd certsCopy to Clipboard Copied! Toggle word wrap Toggle overflow ルート認証局 (CA) の秘密鍵を作成し、パスワードを設定します。
例
openssl req -x509 -newkey rsa:2048 -days 365 -sha256 -nodes \ -keyout rootCA.key.pem -out rootCA.crt.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=RootCA/CN=RootCA" \ -addext "basicConstraints=CA:true" -addext "keyUsage=cRLSign, keyCertSign"
openssl req -x509 -newkey rsa:2048 -days 365 -sha256 -nodes \ -keyout rootCA.key.pem -out rootCA.crt.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=RootCA/CN=RootCA" \ -addext "basicConstraints=CA:true" -addext "keyUsage=cRLSign, keyCertSign"Copy to Clipboard Copied! Toggle word wrap Toggle overflow CHANGE_ME は、新しいパスワードに置き換えます。
中間 CA 秘密鍵と証明書署名要求 (CSR) を作成し、パスワードを設定します。
例
openssl req -newkey rsa:2048 -sha256 \ -keyout intermediateCA.key.pem -out intermediateCA.csr.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=IntermediateCA/CN=IntermediateCA"
openssl req -newkey rsa:2048 -sha256 \ -keyout intermediateCA.key.pem -out intermediateCA.csr.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=IntermediateCA/CN=IntermediateCA"Copy to Clipboard Copied! Toggle word wrap Toggle overflow CHANGE_ME は、新しいパスワードに置き換えます。
ルート CA を使用して中間 CA 証明書に署名します。
例
openssl x509 -req -in intermediateCA.csr.pem -CA rootCA.crt.pem -CAkey rootCA.key.pem \ -CAcreateserial -out intermediateCA.crt.pem -days 365 -sha256 \ -extfile <(echo -e "basicConstraints=CA:true\nkeyUsage=cRLSign, keyCertSign\nextendedKeyUsage=critical,timeStamping") \ -passin pass:"CHANGE_ME"
openssl x509 -req -in intermediateCA.csr.pem -CA rootCA.crt.pem -CAkey rootCA.key.pem \ -CAcreateserial -out intermediateCA.crt.pem -days 365 -sha256 \ -extfile <(echo -e "basicConstraints=CA:true\nkeyUsage=cRLSign, keyCertSign\nextendedKeyUsage=critical,timeStamping") \ -passin pass:"CHANGE_ME"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 中間 CA 証明書に署名するには、CHANGE_ME をルート CA 秘密鍵のパスワードに置き換えます。
リーフ CA の秘密鍵と CSR を作成し、パスワードを設定します。
例
openssl req -newkey rsa:2048 -sha256 \ -keyout leafCA.key.pem -out leafCA.csr.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=LeafCA/CN=LeafCA"
openssl req -newkey rsa:2048 -sha256 \ -keyout leafCA.key.pem -out leafCA.csr.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=LeafCA/CN=LeafCA"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 中間 CA を使用してリーフ CA 証明書に署名します。
例
openssl x509 -req -in leafCA.csr.pem -CA intermediateCA.crt.pem -CAkey intermediateCA.key.pem \ -CAcreateserial -out leafCA.crt.pem -days 365 -sha256 \ -extfile <(echo -e "basicConstraints=CA:false\nkeyUsage=cRLSign, keyCertSign\nextendedKeyUsage=critical,timeStamping") \ -passin pass:"CHANGE_ME"
openssl x509 -req -in leafCA.csr.pem -CA intermediateCA.crt.pem -CAkey intermediateCA.key.pem \ -CAcreateserial -out leafCA.crt.pem -days 365 -sha256 \ -extfile <(echo -e "basicConstraints=CA:false\nkeyUsage=cRLSign, keyCertSign\nextendedKeyUsage=critical,timeStamping") \ -passin pass:"CHANGE_ME"Copy to Clipboard Copied! Toggle word wrap Toggle overflow リーフ CA 証明書に署名するには、CHANGE_ME を中間 CA 秘密鍵のパスワードに置き換えます。
新しく作成した証明書を組み合わせて証明書チェーンを作成します。
例
cat leafCA.crt.pem intermediateCA.crt.pem rootCA.crt.pem > new-tsa.certchain.pem
cat leafCA.crt.pem intermediateCA.crt.pem rootCA.crt.pem > new-tsa.certchain.pemCopy to Clipboard Copied! Toggle word wrap Toggle overflow
新しい証明書チェーン、秘密鍵、およびパスワードを使用して RHTAS Playbook を更新します。
例
tas_single_node_tsa: certificate_chain: "{{ lookup('file', 'new-tsa.certchain.pem') }}" signer_private_key: "{{ lookup('file', 'leafCA.key.pem') }}" ca_passphrase: CHANGE_MEtas_single_node_tsa: certificate_chain: "{{ lookup('file', 'new-tsa.certchain.pem') }}" signer_private_key: "{{ lookup('file', 'leafCA.key.pem') }}" ca_passphrase: CHANGE_MECopy to Clipboard Copied! Toggle word wrap Toggle overflow CHANGE_ME は、リーフ CA 秘密鍵のパスワードに置き換えます。
注記Red Hat では、パスフレーズをファイルから取得するか、Ansible Vault を使用して暗号化することを推奨しています。
アクティブな TSA 証明書ファイル名、TSA URL 文字列を見つけて、次の値を使用してシェル環境を設定します。
例
export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export ACTIVE_CERT_CHAIN_NAME=tsa.certchain.pem export TSA_URL=https://tsa.${BASE_HOSTNAME}/api/v1/timestamp curl $TSA_URL/certchain -o $ACTIVE_CERT_CHAIN_NAMEexport BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export ACTIVE_CERT_CHAIN_NAME=tsa.certchain.pem export TSA_URL=https://tsa.${BASE_HOSTNAME}/api/v1/timestamp curl $TSA_URL/certchain -o $ACTIVE_CERT_CHAIN_NAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい TSA 証明書チェーンを使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]') rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]') rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 古い TSA 証明書を期限切れにします。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい TSA 証明書を追加します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repotar -C "${WORK}" -czvf repository.tar.gz tuf-repoCopy to Clipboard Copied! Toggle word wrap Toggle overflow 新しい圧縮アーカイブファイル名を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 作業ディレクトリーを削除します。
例
rm -r $WORK
rm -r $WORKCopy to Clipboard Copied! Toggle word wrap Toggle overflow
変更を適用するには、RHTAS Ansible Playbook を実行します。
例
ansible-playbook -i inventory play.yml
ansible-playbook -i inventory play.ymlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.json
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonCopy to Clipboard Copied! Toggle word wrap Toggle overflow これで、新しい TSA 署名者鍵と証明書を使用するアーティファクトに署名して検証する準備が整いました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}