Red Hat Summit2.3. 証明書と鍵のローテーション
システム管理者は、Red Hat OpenShift 上で実行されている Red Hat Trusted Artifact Signer (RHTAS) サービスで使用される証明書と署名者鍵をプロアクティブにローテーションできます。定期的に鍵をローテーションすることで、鍵の改ざんや盗難を防ぐことができます。これらの手順では、古い証明書と署名者鍵を期限切れにし、RHTAS を設定する基盤となるサービス用の新しい証明書と署名者鍵に置き換える手順を説明します。次のサービスの鍵と証明書をローテーションできます。
- Rekor
- Certificate Transparency ログ
- Fulcio
- タイムスタンプ機関
2.3.1. Rekor 署名者鍵のローテーション
シャーディング機能を使用してログツリーをフリーズし、新しい署名者鍵を使用して新しいログツリーを作成することで、Rekor の署名者鍵を積極的にローテーションできます。この手順では、古い Rekor 署名者鍵を期限切れにし、Red Hat Trusted Artifact Signer (RHTAS) が使用する新しい署名者鍵に置き換える手順を説明します。古い Rekor 署名者鍵の有効期限が切れても、古い鍵で署名されたアーティファクトを検証することは可能です。
この手順では、Rekor サービスを停止する必要があります。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから
rekor-cliバイナリーをワークステーションにダウンロードします。Web ブラウザーを開き、CLI サーバーの Web ページに移動します。
注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。- ダウンロードページから rekor-cli ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルから、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip rekor-cli-amd64.gz chmod +x rekor-cli-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルから、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
シェル変数をベースホスト名と Rekor URL に割り当てます。
例
export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export REKOR_URL=https://rekor.${BASE_HOSTNAME}BASE_HOSTNAME_OF_RHTAS_SERVICE は
tas_single_node_base_hostname変数の値に置き換えます。アクティブシャードのログツリー識別子を取得します。
例
export OLD_TREE_ID=$(rekor-cli loginfo --rekor_server $REKOR_URL --format json | jq -r .TreeID)シェル環境を設定します。
例
export MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]')IP_OF_ANSIBLE_MANAGED_NODE と USER_TO_CONNECT_TO_MANAGED_NODE をご使用の環境の値に置き換えます。
ログツリーを
DRAINING状態に設定します。例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --admin_server=trillian-logserver-pod:8091 --tree_id=${OLD_TREE_ID} --tree_state=DRAINING"ツリーログは、drain の実行中に新しいエントリーを受け入れません。キューが空になるまで待ちます。
重要次のステップに進む前に、キューが空になるまで待つ必要があります。drain の実行中にリーフがまだ統合中の場合、このプロセス中にログツリーをフリーズすると、ログパスが最大マージ遅延 (MMD) しきい値を超える可能性があります。
ログツリーをフリーズします。
例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=FROZEN"フリーズしたログツリーの長さを取得します。
例
export OLD_SHARD_LENGTH=$(rekor-cli loginfo --rekor_server $REKOR_URL --format json | jq -r .ActiveTreeSize)古いシャードの Rekor の公開鍵を取得します。
例
export OLD_PUBLIC_KEY=$(curl -s $REKOR_URL/api/v1/log/publicKey | base64 | tr -d '\n')新しいログツリーを作成します。
例
export NEW_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run -q --network=rhtas --rm registry.redhat.io/rhtas/createtree-rhel9:1.1.0 --logtostderr=false --admin_server=trillian-logserver-pod:8091 --display_name=rekor-tree | tr -d '[:punct:][:blank:][:cntrl:]'")これで、ログツリーが 2 つ、フリーズしたツリーが 1 つ、およびアクティブなシャードになる新しいツリーが 1 つできました。
新しい秘密鍵と関連する公開鍵を作成します。
例
openssl ecparam -genkey -name secp384r1 -noout -out new-rekor.pem openssl ec -in new-rekor.pem -pubout -out new-rekor.pub export NEW_KEY_NAME=new-rekor.pub重要新しい鍵には一意のファイル名が必要です。
アクティブな Rekor 署名鍵を取得し、その鍵をファイルに保存します。
例
rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/rekor-signer0.key ./rekor-signer0.key echo "$OLD_PUBLIC_KEY" | base64 -d > rekor.pubRHTAS Ansible Playbook で Rekor 設定を更新します。
例
tas_single_node_rekor: active_signer_id: "new-rekor-key" active_tree_id: NEW_TREE_ID private_keys: - id: "new-rekor-key" key: | {{ lookup('file', 'new-rekor.pem') }} - id: "private-0" key: | {{ lookup('file', 'rekor-signer0.key') }} public_keys: - id: "new-rekor-pubkey" key: | {{ lookup('file', 'new-rekor.pub') }} - id: "public-0" key: | {{ lookup('file', 'rekor.pub') }} sharding_config: - tree_id: OLD_TREE_ID tree_length: OLD_SHARD_LENGTH pem_pub_key: "public-0"新しい Rekor 公開鍵を使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
export WORK="${HOME}/trustroot-example" export ROOT="${WORK}/root/root.json" export KEYDIR="${WORK}/keys" export INPUT="${WORK}/input" export TUF_REPO="${WORK}/tuf-repo" export TUF_URL="https://tuf.${BASE_HOSTNAME}"一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"アクティブな Rekor 署名者キーファイル名に環境変数を割り当てます。
例
export ACTIVE_KEY_NAME=rekor.pub古い Rekor 署名者鍵を期限切れにします。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-rekor-target "${ACTIVE_KEY_NAME}" \ --rekor-uri "${REKOR_URL}" \ --rekor-status "Expired" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"新しい Rekor 署名者鍵を追加します。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-rekor-target "${NEW_KEY_NAME}" \ --rekor-uri "${REKOR_URL}" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repo新しい圧縮アーカイブファイル名を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"作業ディレクトリーを削除します。
例
rm -r $WORK
変更を適用するには、RHTAS Ansible Playbook を実行します。
例
ansible-playbook -i inventory play.yml更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonこれで、新しい Rekor 署名者鍵を使用してアーティファクトに署名し、検証する準備が整いました。
2.3.2. Certificate Transparency ログ署名者アギのローテーション
シャーディング機能を使用してログツリーをフリーズし、新しい署名者鍵を使用して新しいログツリーを作成することにより、Certificate Transparency (CT) ログ署名者鍵をプロアクティブにローテーションできます。この手順では、古い CT ログ署名者鍵を期限切れにし、Red Hat Trusted Artifact Signer (RHTAS) が使用する新しい署名者鍵に置き換える手順を説明します。古い CT ログ署名者鍵の有効期限が切れても、古い鍵で署名されたアーティファクトを検証することは可能です。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
シェル環境を設定します。
例
export MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]') export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICEBASE_HOSTNAME_OF_RHTAS_SERVICE は
tas_single_node_base_hostname変数の値に置き換えます。CTlog configuration map、CTlog キー、および Fulcio ルート証明書をワークステーションにダウンロードします。
例
rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/configs/ctlog-config.yaml ./ctlog-config.yaml rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/ctlog0.key ./ctfe.key rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/ctlog0.pub ./ctfe.pub rsync --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/fulcio.pem ./fulcio-0.pem現在のツリー識別子を取得します。
例
export OLD_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo cat /etc/rhtas/configs/ctlog-treeid-config.yaml | grep 'tree_id:' | awk '{print \$2}'" | tr -d '[:punct:][:blank:][:cntrl:]')ログツリーを
DRAINING状態に設定します。例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=DRAINING"ツリーログは、drain の実行中に新しいエントリーを受け入れません。キューが空になるまで待ちます。
重要次のステップに進む前に、キューが空になるまで待つ必要があります。drain の実行中にリーフがまだ統合中の場合、このプロセス中にログツリーをフリーズすると、ログパスが最大マージ遅延 (MMD) しきい値を超える可能性があります。
キューが完全に空になったら、ログをフリーズします。
例
ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run --network=rhtas --rm registry.redhat.io/rhtas/updatetree-rhel9:1.1.0 --tree_id=${OLD_TREE_ID} --admin_server=trillian-logserver-pod:8091 --tree_state=FROZEN"新しい Merkle ツリーを作成し、新しいツリー識別子を取得します。
例
export NEW_TREE_ID=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman run -q --network=rhtas --rm registry.redhat.io/rhtas/createtree-rhel9:1.1.0 --logtostderr=false --admin_server=trillian-logserver-pod:8091 --display_name=ctlog-tree" | tr -d '[:punct:][:blank:][:cntrl:]')新しい証明書と新しい公開鍵および秘密鍵を生成します。
例
openssl ecparam -genkey -name prime256v1 -noout -out new-ctlog.pem openssl ec -in new-ctlog.pem -pubout -out new-ctlog-public.pem openssl ec -in new-ctlog.pem -out new-ctlog.pass.pem -des3 -passout pass:"CHANGE_ME"CHANGE_ME は、新しいパスワードに置き換えます。
重要証明書と新しい鍵には一意のファイル名が必要です。
CT ログ設定を更新します。
- RHTAS Ansible Playbook を開いて編集します。
CTlog 署名者キーのローテーションを初めて設定する場合は、
tas_single_node_ctlog.sharding_configセクションに以下を追加する必要があります。例
tas_single_node_ctlog: sharding_config: - treeid: OLD_TREE_ID # frozen log prefix: "rhtasansible" private_key: "private-0" password: "rhtas" root_pem_file: "/ctfe-keys/fulcio-0" not_after_limit: seconds: 1728056285 nanos: 012111000OLD_TREE_ID は、
$OLD_TREE_ID環境変数に含まれる内容に置き換えます。注記date +%s、およびdate +%Nのコマンドを実行すると、秒とナノ秒の現在の時刻値を取得できます。重要not_after_limitフィールドは、フリーズされたログだけのタイムスタンプ範囲の終了を定義します。この時点以降の証明書は、このログに含めることができなくなります。-
フリーズされたログブロックをコピーして貼り付け、
tas_single_node_ctlog.sharding_configセクションに追加して、新しいエントリーを作成します。 新しいログブロック内の次の行を変更します。
treeidを新しいツリー識別子に設定します。prefixはtrusted-artifact-signerに、private_keyパスはprivate-1に、not_after_limitはnot_after_startに変更してタイムスタンプの範囲を設定し、Fulcio が新しいログを利用できるようにtas_single_node_fulcio.ct_log_prefixを更新します。例
tas_single_node_ctlog: sharding_config: ... # frozen log - treeid: NEW_TREE_ID # new active log prefix: "trusted-artifact-signer" private_key: "private-1" password: "CHANGE_ME" root_pem_file: "/ctfe-keys/fulcio-0" not_after_start: seconds: 1713201754 nanos: 155663000 tas_single_node_fulcio: ct_log_prefix: "trusted-artifact-signer"CHANGE_ME は、新しい秘密鍵のパスワードに置き換えます。ここでのパスワードは、新しい秘密鍵と公開鍵を生成するために使用したパスワードと同じものに指定する必要があります。
重要not_after_startフィールドは、タイムスタンプ範囲の開始 (開始地点を含む) を定義します。これは、この時点でログが証明書の受け入れを開始することを意味します。
CTlog の
tas_single_node_ctlogセクションを更新して、新しいキーを管理対象ノードに配布します。例
tas_single_node_ctlog: ... private_keys: - id: private-0 key: | {{ lookup('file', 'ctfe.key') }} - id: private-1 key: | {{ lookup('file', 'new-ctlog.pass.pem') }} public_keys: - id: public-0 key: | {{ lookup('file', 'ctfe.pub') }} - id: public-1 key: | {{ lookup('file', 'new-ctlog-public.pem') }}新しい CT ログ公開鍵を使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
export WORK="${HOME}/trustroot-example" export ROOT="${WORK}/root/root.json" export KEYDIR="${WORK}/keys" export INPUT="${WORK}/input" export TUF_REPO="${WORK}/tuf-repo" export TUF_URL="https://tuf.${BASE_HOSTNAME}"一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"アクティブな CT ログ署名者キーファイル名に環境変数を割り当てます。
例
export ACTIVE_CTFE_NAME=ctfe.pub古い CT ログ署名者鍵を期限切れにします。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-ctlog-target "$ACTIVE_CTFE_NAME" \ --ctlog-uri "https://ctlog.rhtas" \ --ctlog-status "Expired" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"新しい CT ログ署名者鍵を追加します。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-ctlog-target "new-ctlog-public.pem" \ --ctlog-uri "https://ctlog.rhtas" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repo新しい圧縮アーカイブファイル名を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"- Playbook への変更を保存し、テキストエディターを閉じます。
RHTAS Ansible Playbook を実行して変更を適用します。
例
ansible-playbook -i inventory play.yml作業ディレクトリーを削除します。
例
rm -r $WORK更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonこれで、新しい CT ログ署名者鍵を使用してアーティファクトに署名し、検証する準備が整いました。
2.3.3. Fulcio 証明書のローテーション
Fulcio サービスで使用される証明書をプロアクティブにローテーションできます。この手順では、古い Fulcio 証明書の有効期限を切れさせ、Red Hat Trusted Artifact Signer (RHTAS) が使用できるように新しい証明書に置き換える手順を説明します。古い Fulcio 証明書の有効期限が切れても、古い証明書で署名されたアーティファクトを検証することは可能です。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
新しい証明書と新しい公開鍵および秘密鍵を生成します。
例
openssl ecparam -genkey -name prime256v1 -noout -out new-fulcio.pem openssl ec -in new-fulcio.pem -pubout -out new-fulcio-public.pem openssl ec -in new-fulcio.pem -out new-fulcio.pass.pem -des3 -passout pass:"CHANGE_ME" openssl req -new -x509 -key new-fulcio.pass.pem -out new-fulcio.cert.pemCHANGE_ME は、新しいパスワードに置き換えます。
重要証明書と新しい鍵には一意のファイル名が必要です。
新しい秘密鍵ファイル名、新しい証明書の内容、およびパスワードを
tas_single_node_fulcio変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_fulcio: root_ca: "{{ lookup('file', 'new-fulcio.cert.pem') }}" private_key: "{{ lookup('file', 'new-fulcio.pass.pem') }}" ca_passphrase: CHANGE_MECHANGE_ME は、新しいパスワードに置き換えます。
注記ここでのパスワードは、新しい秘密鍵と公開鍵を生成するために使用したパスワードと同じものに指定する必要があります。
注記パスフレーズはファイルから取得するか、Ansible Vault を使用して暗号化することを推奨します。
新しい Fulcio 証明書を使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
export WORK="${HOME}/trustroot-example" export ROOT="${WORK}/root/root.json" export KEYDIR="${WORK}/keys" export INPUT="${WORK}/input" export TUF_REPO="${WORK}/tuf-repo" export TUF_URL="https://tuf.${BASE_HOSTNAME}" export MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]')一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"アクティブな Fulcio 証明書ファイル名を見つけます。ローカル TUF リポジトリー内の最新のターゲットファイル (例:
1.targets.json) を開きます。このファイルには、アクティブな Fulcio 証明書ファイル名 (例:fulcio_v1.crt.pem) が記載されています。このアクティブな Fulcio 証明書ファイル名で環境変数を設定します。例
export ACTIVE_CERT_NAME=fulcio_v1.crt.pem管理対象ノードからアクティブな Fulico 証明書を取得します。
例
rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:/etc/rhtas/certs/fulcio.pem "${ACTIVE_CERT_NAME}"古い証明書を期限切れにします。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-fulcio-target "$ACTIVE_CERT_NAME" \ --fulcio-uri "https://fulcio.rhtas" \ --fulcio-status "Expired" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"新しい Fulcio 証明書を追加します。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-fulcio-target "new-fulcio.cert.pem" \ --fulcio-uri "https://fulcio.rhtas" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repo新しい圧縮アーカイブファイルの内容を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"作業ディレクトリーを削除します。
例
rm -r $WORK
変更を適用するには、RHTAS Ansible Playbook を実行します。
例
ansible-playbook -i inventory play.yml更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonこれで、新しい Fulcio 証明書を使用してアーティファクトに署名し、検証する準備が整いました。
2.3.4. タイムスタンプ機関の署名者鍵と証明書チェーンのローテーション
タイムスタンプ機関 (TSA) の署名者鍵と証明書チェーンをプロアクティブにローテーションできます。この手順では、古い TSA 署名者鍵と証明書チェーンを期限切れにし、Red Hat Trusted Artifact Signer (RHTAS) が使用できるように新しいものに置き換える手順を説明します。古い TSA 署名者鍵と証明書チェーンを期限切れにしても、古い鍵と証明書チェーンによって署名されたアーティファクトを検証することは可能です。
前提条件
- Ansible 管理の Red Hat Enterprise Linux 上で実行される RHTAS のインストール。
-
rsync、openssl、cosignバイナリーがインストールされたワークステーション。 - 管理対象ノードに対するルートレベルの権限を持つ、管理対象ノードへの SSH 接続。
手順
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
tuftoolバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。重要現在、
tuftoolバイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。- ダウンロードページから、tuftool のダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip tuftool-amd64.gz chmod +x tuftool-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv tuftool-amd64 /usr/local/bin/tuftool
新しい証明書チェーンと新しい署名者鍵を生成します。
重要新しい証明書と鍵には一意のファイル名が必要です。
一時作業ディレクトリーを作成します。
例
mkdir certs && cd certsルート認証局 (CA) の秘密鍵を作成し、パスワードを設定します。
例
openssl req -x509 -newkey rsa:2048 -days 365 -sha256 -nodes \ -keyout rootCA.key.pem -out rootCA.crt.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=RootCA/CN=RootCA" \ -addext "basicConstraints=CA:true" -addext "keyUsage=cRLSign, keyCertSign"CHANGE_ME は、新しいパスワードに置き換えます。
中間 CA 秘密鍵と証明書署名要求 (CSR) を作成し、パスワードを設定します。
例
openssl req -newkey rsa:2048 -sha256 \ -keyout intermediateCA.key.pem -out intermediateCA.csr.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=IntermediateCA/CN=IntermediateCA"CHANGE_ME は、新しいパスワードに置き換えます。
ルート CA を使用して中間 CA 証明書に署名します。
例
openssl x509 -req -in intermediateCA.csr.pem -CA rootCA.crt.pem -CAkey rootCA.key.pem \ -CAcreateserial -out intermediateCA.crt.pem -days 365 -sha256 \ -extfile <(echo -e "basicConstraints=CA:true\nkeyUsage=cRLSign, keyCertSign\nextendedKeyUsage=critical,timeStamping") \ -passin pass:"CHANGE_ME"中間 CA 証明書に署名するには、CHANGE_ME をルート CA 秘密鍵のパスワードに置き換えます。
リーフ CA の秘密鍵と CSR を作成し、パスワードを設定します。
例
openssl req -newkey rsa:2048 -sha256 \ -keyout leafCA.key.pem -out leafCA.csr.pem \ -passout pass:"CHANGE_ME" \ -subj "/C=CC/ST=state/L=Locality/O=RH/OU=LeafCA/CN=LeafCA"中間 CA を使用してリーフ CA 証明書に署名します。
例
openssl x509 -req -in leafCA.csr.pem -CA intermediateCA.crt.pem -CAkey intermediateCA.key.pem \ -CAcreateserial -out leafCA.crt.pem -days 365 -sha256 \ -extfile <(echo -e "basicConstraints=CA:false\nkeyUsage=cRLSign, keyCertSign\nextendedKeyUsage=critical,timeStamping") \ -passin pass:"CHANGE_ME"リーフ CA 証明書に署名するには、CHANGE_ME を中間 CA 秘密鍵のパスワードに置き換えます。
新しく作成した証明書を組み合わせて証明書チェーンを作成します。
例
cat leafCA.crt.pem intermediateCA.crt.pem rootCA.crt.pem > new-tsa.certchain.pem
新しい証明書チェーン、秘密鍵、およびパスワードを使用して RHTAS Playbook を更新します。
例
tas_single_node_tsa: certificate_chain: "{{ lookup('file', 'new-tsa.certchain.pem') }}" signer_private_key: "{{ lookup('file', 'leafCA.key.pem') }}" ca_passphrase: CHANGE_MECHANGE_ME は、リーフ CA 秘密鍵のパスワードに置き換えます。
注記Red Hat では、パスフレーズをファイルから取得するか、Ansible Vault を使用して暗号化することを推奨しています。
アクティブな TSA 証明書ファイル名、TSA URL 文字列を見つけて、次の値を使用してシェル環境を設定します。
例
export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export ACTIVE_CERT_CHAIN_NAME=tsa.certchain.pem export TSA_URL=https://tsa.${BASE_HOSTNAME}/api/v1/timestamp curl $TSA_URL/certchain -o $ACTIVE_CERT_CHAIN_NAME新しい TSA 証明書チェーンを使用するように The Update Framework (TUF) サービスを設定します。
シェル環境を設定します。
例
export WORK="${HOME}/trustroot-example" export ROOT="${WORK}/root/root.json" export KEYDIR="${WORK}/keys" export INPUT="${WORK}/input" export TUF_REPO="${WORK}/tuf-repo" export TUF_URL="https://tuf.${BASE_HOSTNAME}" export MANAGED_NODE_IP=IP_OF_ANSIBLE_MANAGED_NODE export MANAGED_NODE_SSH_USER=USER_TO_CONNECT_TO_MANAGED_NODE export NEW_CERT_CHAIN_NAME=new-tsa.certchain.pem一時的な TUF ディレクトリー構造を作成します。
例
mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。
例
export REMOTE_KEYS_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-signing-keys" | tr -d '[:space:]') export REMOTE_TUF_VOLUME=$(ssh ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP} -t "sudo podman volume mount tuf-repository" | tr -d '[:space:]') rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_KEYS_VOLUME}/" "${KEYDIR}" rsync -r --rsync-path="sudo rsync" ${MANAGED_NODE_SSH_USER}@${MANAGED_NODE_IP}:"${REMOTE_TUF_VOLUME}/" "${TUF_REPO}" cp "${TUF_REPO}/root.json" "${ROOT}"古い TSA 証明書を期限切れにします。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-tsa-target "$ACTIVE_CERT_CHAIN_NAME" \ --tsa-uri "$TSA_URL" \ --tsa-status "Expired" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"新しい TSA 証明書を追加します。
例
tuftool rhtas \ --root "${ROOT}" \ --key "${KEYDIR}/snapshot.pem" \ --key "${KEYDIR}/targets.pem" \ --key "${KEYDIR}/timestamp.pem" \ --set-tsa-target "$NEW_CERT_CHAIN_NAME" \ --tsa-uri "$TSA_URL" \ --outdir "${TUF_REPO}" \ --metadata-url "file://${TUF_REPO}"更新された TUF リポジトリーの圧縮アーカイブファイルを作成します。
例
tar -C "${WORK}" -czvf repository.tar.gz tuf-repo新しい圧縮アーカイブファイル名を
tas_single_node_trust_root変数に追加して、RHTAS Ansible Playbook を更新します。例
tas_single_node_trust_root: full_archive: "{{ lookup('file', 'repository.tar.gz') | b64encode }}"作業ディレクトリーを削除します。
例
rm -r $WORK
変更を適用するには、RHTAS Ansible Playbook を実行します。
例
ansible-playbook -i inventory play.yml更新された TUF 設定で
cosign設定を更新します。例
cosign initialize --mirror=$TUF_URL --root=$TUF_URL/root.jsonこれで、新しい TSA 署名者鍵と証明書を使用するアーティファクトに署名して検証する準備が整いました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}