Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

デプロイメントガイド

Red Hat Trusted Artifact Signer 1

Red Hat プラットフォーム用の Trusted Artifact Signer サービスのインストールと設定

Red Hat Trusted Documentation Team

概要

このデプロイメントガイドでは、Red Hat プラットフォームに Trusted Artifact Signer サービスをインストールし、インストールが成功したことを検証するためのガイダンスを提供します。

はじめに
リンクのコピー

Red Hat Trusted Artifact Signer デプロイメントガイドへようこそ。

これらの手順は、完全な Trusted Artifact Signer (RHTAS) ソフトウェアスタックのデプロイと、そのデプロイメントの確認に役立ちます。インストールプラットフォーム別に整理されたコンテンツ:

公式の RHTAS リリースノートは、こちら で確認できます。

第1章 Red Hat OpenShift Container Platform
リンクのコピー

1.1. OpenShift へのデプロイに関するリソースの推奨事項
リンクのコピー

ワークロードを最適化するには、Red Hat OpenShift に Red Hat Trusted Artifact Signer (RHTAS) をデプロイする前にインフラストラクチャーリソースのサイズを決定する方法を理解することが重要です。考慮すべき重要なインフラストラクチャー部分は、Trillian データベースで使用できる CPU の数とメモリーです。署名および検証の要求の数が増えると、CPU の負荷が増加し、Trillian データベースのメモリー使用量が増加します。

RHTAS で使用される Trillian データベースを実装するには、専用データベースと管理対象データベースの 2 つのオプションがあります。Red Hat では、実稼働環境のワークロードには専用のデータベースを、非実稼働環境のワークロードにはマネージドデータベースを推奨しています。最初に使用できるベースラインの CPU およびメモリーリソースは次のとおりです。

Dedicated

  • 2 CPU コア
  • 1 GB の RAM
  • 5 GB のストレージ

Managed

  • 4 CPU コア
  • 2GB の RAM
  • 10 GB のストレージ

1.2. Operator Lifecycle Manager を使用した Trusted Artifact Signer のインストール
リンクのコピー

Red Hat Trusted Artifact Signer (RHTAS) Operator をインストールし、OpenShift の Operator Lifecycle Manager (OLM) を使用して RHTAS サービスをデプロイできます。このデプロイメントは、OpenID Connect (OIDC) プロバイダーを選択できる基本的な署名フレームワークを提供します。Red Hat Single Sign-On (SSO)、Google、Amazon Secure Token Service (STS)、または GitHub のいずれかの OIDC プロバイダーを少なくとも 1 つ設定する必要があります。デフォルトを使用しない場合は、オプションでデータベースソリューションをカスタマイズすることもできます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • oc バイナリーがインストールされているワークステーション。

手順

  1. cluster-admin ロールを持つユーザーで OpenShift Web コンソールにログインします。
  2. Administrator パースペクティブで、Operators ナビゲーションメニューを展開し、OperatorHub をクリックします。
  3. 検索フィールドに trusted と入力し、Red Hat Trusted Artifact Signer タイルをクリックします。
  4. Install ボタンをクリックして、Operator の詳細を表示します。

  5. デフォルト値を受け入れ、Install Operator ページで Install をクリックし、インストールが完了するまで待ちます。

    重要

    インストールが完了すると、新しいプロジェクトが自動的に作成されます。新しいプロジェクト名は trusted-artifact-signer です。

    注記

    Trusted Artifact Signer Operator は openshift-operators namespace にインストールされ、すべての依存関係が自動的にインストールされます。

  6. オプション: デフォルトのデータベースの代わりに、Trusted Artifact Signer サービスに別のデータベースプロバイダーを使用できます。Amazon の Relational Database Service (RDS)、または OpenShift 上のデータベース (セルフマネージド) を使用する場合は、まずそちらの手順のいずれかを実行してから、このインストールを続行してください。他のデータベースプロバイダーのいずれかの設定が完了したら、この手順の次の手順に進むことができます。

  7. Trusted Artifact Signer サービスをデプロイします。

    1. OpenShift Web コンソール内で、ナビゲーションメニューから Operator を展開し、Installed Operator をクリックします。
    2. プロジェクトのドロップダウンボックスから、trusted-artifact-signer を選択します。
    3. Red Hat Trusted Artifact Signer をクリックします。
    4. Securesign タブをクリックし、Create Securesign ボタンをクリックします。
    5. Create Securesign ページで、YAML view を選択します。

    6. このデプロイメント中に、Google OAuthAmazon STSRed Hat の SSOMicrosoft の Entra IDGitHub OAuth などのさまざまな OIDC プロバイダーを初期 OIDC プロバイダーとして設定できます。spec.fulcio.config.OIDCIssuers セクションで、OIDC プロバイダー URL を含む次の 3 行を編集し、ClientID を適切に設定します。 

      ...
OIDCIssuers:
  - Issuer: 'OIDC_ISSUER_URL':
    ClientID: CLIENT_ID
    IssuerURL: 'OIDC_ISSUER_URL'
    Type: email
...
      Copy to Clipboard Toggle word wrap

      注記

      Red Hat の SSO がすでに OIDC プロバイダーとして実装されている場合は、次のコマンドを実行して発行者の URL を見つけます。 

      echo https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer
      Copy to Clipboard Toggle word wrap

      ClientIDtrusted-artifact-signer に設定します。

      重要

      同じ設定で複数の異なる OIDC プロバイダーを定義できます。

    7. オプション: デフォルト以外のデータベースを使用することを選択した場合は、spec.trillian セクションで createfalse に設定し、データベースシークレットオブジェクトの名前を指定します。 

      ...
trillian:
  database:
    create: false
    databaseSecretRef:
      name: trillian-mysql
...
      Copy to Clipboard Toggle word wrap

    8. Create ボタンをクリックします。

  8. All instances タブをクリックして、CTlogFulcioRekorTrillian、および TUF インスタンスの準備ができるまでデプロイメントステータスを監視します。

    注記

    Securesign インスタンスからは、ステータスはわかりません。

  9. OpenShift コンソールで Prometheus を使用すると、新しい Trusted Artifact Signer サービスの健全性を確認できます。ナビゲーションメニューから Observe を展開し、Dashboards をクリックします。
  10. コンテナーイメージ または Git コミット に署名してインストールを検証します。

1.3. 信頼できるアーティファクト署名のインストールの確認
リンクのコピー

システム管理者として、Red Hat OpenShift Container Platform 上で実行されている Red Hat Trusted Artifact Signer (RHTAS) のデプロイメントが成功したかどうかを確認できます。

テストコンテナーイメージに署名し、その署名の信頼性を検証して、環境内での RHTAS のデプロイメントを検証できます。

コードパイプラインからアーティファクトビルドに署名する方法は 2 つ、検証する方法は 3 つあります。cosigngitsign を使用して署名および検証できますが、検証できるのは Enterprise Contract のみです。

1.3.1. コマンドラインインターフェイスから Cosign を使用したコンテナーの署名と検証
リンクのコピー

cosign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Open Container Initiative (OCI) コンテナーイメージや他のビルドアーティファクトに署名し、検証する機能が提供されます。

重要

RHTAS の場合、cosign バージョン 2.2 以降を使用する必要があります。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降への RHTAS インストール。
  • OpenShift Web コンソールへのアクセス。
  • oc および podman バイナリーがインストールされたワークステーション。

手順

  1. OpenShift クラスターからワークステーションに cosign バイナリーをダウンロードします。

    1. OpenShift Web コンソールにログインします。ホームページから ? アイコンをクリックして、Command line tools をクリックし、cosign ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。

    2. ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。 

      gunzip cosign-amd64.gz
chmod +x cosign-amd64
      Copy to Clipboard Toggle word wrap

    3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv cosign-amd64 /usr/local/bin/cosign
      Copy to Clipboard Toggle word wrap

  2. OpenShift クラスターにログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  3. RHTAS プロジェクトに切り替えます。

    構文

    oc project PROJECT_NAME
    Copy to Clipboard Toggle word wrap 

    oc project trusted-artifact-signer
    Copy to Clipboard Toggle word wrap

    注記

    RHTAS インストールのプロジェクト名を使用します。

  4. コンテナーイメージの署名と検証を行うためにシェル環境を設定します。 

    export TUF_URL="https://tuf.${BASE_HOSTNAME}"
export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer
export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export COSIGN_MIRROR=$TUF_URL
export COSIGN_ROOT=$TUF_URL/root.json
export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer"
export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_YES="true"
export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL
export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER
export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL
export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL
    Copy to Clipboard Toggle word wrap

  5. The Update Framework (TUF) システムを初期化します。 

    cosign initialize
    Copy to Clipboard Toggle word wrap

  6. テストコンテナーイメージに署名します。

    1. 空のコンテナーイメージを作成します。 

      echo "FROM scratch" > ./tmp.Dockerfile
podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    2. 空のコンテナーイメージを ttl.sh 一時レジストリーにプッシュします。 

      podman push ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. コンテナーイメージに署名します。

      構文

      cosign sign -y IMAGE_NAME:TAG
      Copy to Clipboard Toggle word wrap 

      cosign sign -y ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

      Web ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。

    4. 一時的な Docker ファイルを削除します。 

      rm ./tmp.Dockerfile
      Copy to Clipboard Toggle word wrap

  7. 証明書 ID と発行者を使用して、署名済みコンテナーイメージを確認します。

    構文

    cosign verify --certificate-identity=SIGNING_EMAIL_ADDR IMAGE_NAME:TAG
    Copy to Clipboard Toggle word wrap 

    cosign verify --certificate-identity=jdoe@redhat.com ttl.sh/rhtas/test-image:1h
    Copy to Clipboard Toggle word wrap

    注記

    cosign コマンドと --certificate-identity-regexp および --certificate-oidc-issuer-regexp オプションを使用して、証明書の ID と発行者に正規表現を使用することもできます。

  8. OpenShift クラスターからワークステーションに rekor-cli バイナリーをダウンロードします。

    1. OpenShift Web コンソールにログインします。ホームページで ? アイコンをクリックし、Command line tools をクリックして rekor-cli ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。

    2. ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。 

      gunzip rekor-cli-amd64.gz
chmod +x rekor-cli-amd64
      Copy to Clipboard Toggle word wrap

    3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
      Copy to Clipboard Toggle word wrap

  9. Rekor コマンドラインインターフェイスを使用して透明性ログをクエリーします。

    1. ログインデックスに基づき検索します。 

      rekor-cli get --log-index 0 --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap

    2. ユニバーサルユニーク ID (UUID) を取得するために、メールアドレスを検索します。

      構文

      rekor-cli search --email SIGNING_EMAIL_ADDR --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap 

      rekor-cli search --email jdoe@redhat.com --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap

      このコマンドは、次の手順で使用する UUID を返します。

    3. UUID を使用してトランザクションの詳細を取得します。

      構文

      rekor-cli get --uuid UUID --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap 

      rekor-cli get --uuid 24296fb24b8ad77a71b9c1374e207537bafdd75b4f591dcee10f3f697f150d7cc5d0b725eea641e7 --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap

1.3.2. コマンドラインインターフェイスから Gitsign を使用したコミットの署名および検証
リンクのコピー

gitsign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Git リポジトリーのコミットに署名し、検証することができます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降への RHTAS インストール。
  • OpenShift Web コンソールへのアクセス。

  • ocgitcosign バイナリーがインストールされたワークステーション。

    • cosign バージョン 2.2 以降を使用する必要があります。

手順

  1. OpenShift クラスターからワークステーションに gitsign バイナリーをダウンロードします。

    1. OpenShift Web コンソールにログインします。ホームページから、? をクリックします。アイコンをクリックして、Command line tools をクリックし、gitsign ダウンロードセクションに移動して、お使いのプラットフォームのリンクをクリックします。

    2. ワークステーションでターミナルを開き、.gz ファイルを展開して、実行ビットを設定します。 

      gunzip gitsign-amd64.gz
chmod +x gitsign-amd64
      Copy to Clipboard Toggle word wrap

    3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv gitsign-amd64 /usr/local/bin/gitsign
      Copy to Clipboard Toggle word wrap

  2. OpenShift クラスターにログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  3. RHTAS プロジェクトに切り替えます。

    構文

    oc project PROJECT_NAME
    Copy to Clipboard Toggle word wrap 

    oc project trusted-artifact-signer
    Copy to Clipboard Toggle word wrap

    注記

    RHTAS インストールのプロジェクト名を使用します。

  4. コミットの署名と検証を行うためにシェル環境を設定します。 

    export TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer
export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export COSIGN_MIRROR=$TUF_URL
export COSIGN_ROOT=$TUF_URL/root.json
export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer"
export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_YES="true"
export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL
export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER
export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL
export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL
    Copy to Clipboard Toggle word wrap

  5. RHTAS サービスを使用してコミットに署名するようにローカルリポジトリー設定を指定します。 

    git config --local commit.gpgsign true
git config --local tag.gpgsign true
git config --local gpg.x509.program gitsign
git config --local gpg.format x509
git config --local gitsign.fulcio $SIGSTORE_FULCIO_URL
git config --local gitsign.rekor $SIGSTORE_REKOR_URL
git config --local gitsign.issuer $SIGSTORE_OIDC_ISSUER
git config --local gitsign.clientID trusted-artifact-signer
    Copy to Clipboard Toggle word wrap

  6. ローカルリポジトリーにコミットを作成します。 

    git commit --allow-empty -S -m “Test of a signed commit”
    Copy to Clipboard Toggle word wrap

    Web ブラウザーが開いて、メールアドレスでコミットに署名できます。

  7. The Update Framework (TUF) システムを初期化します。 

    cosign initialize
    Copy to Clipboard Toggle word wrap

  8. コミットを確認します。

    構文

    gitsign verify --certificate-identity=SIGNING_EMAIL --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
    Copy to Clipboard Toggle word wrap 

    gitsign verify --certificate-identity=jdoe@redhat.com --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
    Copy to Clipboard Toggle word wrap

1.3.3. エンタープライズコントラクトを使用したコンテナーイメージの署名の検証
リンクのコピー

Enterprise Contract (EC) は、ソフトウェアサプライチェーンのセキュリティーを維持するためのツールであり、これを使用してコンテナーイメージのポリシーを定義および適用できます。ec バイナリーを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) 署名フレームワークを使用するコンテナーイメージのアテステーションと署名を検証できます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降への RHTAS インストール。
  • OpenShift Web コンソールへのアクセス。

  • occosign、および podman バイナリーがインストールされたワークステーション。

    • cosign バージョン 2.2 以降を使用する必要があります。

手順

  1. OpenShift クラスターから ec バイナリーをダウンロードします。

    1. OpenShift Web コンソールにログインします。ホームページから ? アイコンをクリックし、Command line tools をクリックして、ec ダウンロードセクションに移動してから、お使いのプラットフォームへのリンクをクリックします。

    2. ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。 

      gunzip ec-amd64.gz
chmod +x ec-amd64
      Copy to Clipboard Toggle word wrap

    3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv ec-amd64 /usr/local/bin/ec
      Copy to Clipboard Toggle word wrap

  2. OpenShift クラスターにログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  3. RHTAS プロジェクトに切り替えます。

    構文

    oc project PROJECT_NAME
    Copy to Clipboard Toggle word wrap 

    oc project trusted-artifact-signer
    Copy to Clipboard Toggle word wrap

    注記

    RHTAS インストールのプロジェクト名を使用します。

  4. コンテナーイメージの署名と検証を行うためにシェル環境を設定します。 

    export TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer
export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export COSIGN_MIRROR=$TUF_URL
export COSIGN_ROOT=$TUF_URL/root.json
export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer"
export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_YES="true"
export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL
export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER
export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL
export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL
    Copy to Clipboard Toggle word wrap

  5. The Update Framework (TUF) システムを初期化します。 

    cosign initialize
    Copy to Clipboard Toggle word wrap

  6. テストコンテナーイメージに署名します。

    1. 空のコンテナーイメージを作成します。 

      echo "FROM scratch" > ./tmp.Dockerfile
podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    2. 空のコンテナーイメージを ttl.sh 一時レジストリーにプッシュします。 

      podman push ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. コンテナーイメージに署名します。

      構文

      cosign sign -y IMAGE_NAME:TAG
      Copy to Clipboard Toggle word wrap 

      cosign sign -y ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

      Web ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。

    4. 一時的な Docker ファイルを削除します。 

      rm ./tmp.Dockerfile
      Copy to Clipboard Toggle word wrap

  7. predicate.json ファイルを作成します。 

    {
  "builder": {
    "id": "https://localhost/dummy-id"
  },
  "buildType": "https://example.com/tekton-pipeline",
  "invocation": {},
  "buildConfig": {},
  "metadata": {
    "completeness": {
      "parameters": false,
      "environment": false,
      "materials": false
    },
    "reproducible": false
  },
  "materials": []
}
    Copy to Clipboard Toggle word wrap

    スキーマレイアウトの詳細は、SLSA provenance predicate specifications を参照してください。

  8. predicate.json ファイルをコンテナーイメージに関連付けます。

    構文

    cosign attest -y --predicate ./predicate.json --type slsaprovenance IMAGE_NAME:TAG
    Copy to Clipboard Toggle word wrap 

    cosign attest -y --predicate ./predicate.json --type slsaprovenance ttl.sh/rhtas/test-image:1h
    Copy to Clipboard Toggle word wrap

  9. コンテナーイメージにアテステーションと署名が 1 つ以上含まれていることを確認します。

    構文

    cosign tree IMAGE_NAME:TAG
    Copy to Clipboard Toggle word wrap 

    cosign tree ttl.sh/rhtas/test-image:1h

📦 Supply Chain Security Related artifacts for an image: ttl.sh/rhtas/test-image@sha256:7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35
└── 💾 Attestations for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.att
   └── 🍒 sha256:40d94d96a6d3ab3d94b429881e1b470ae9a3cac55a3ec874051bdecd9da06c2e
└── 🔐 Signatures for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.sig
   └── 🍒 sha256:f32171250715d4538aec33adc40fac2343f5092631d4fc2457e2116a489387b7
    Copy to Clipboard Toggle word wrap

  10. Enterprise Contact を使用してコンテナーイメージを確認します。

    構文

    ec validate image --image IMAGE_NAME:TAG --certificate-identity-regexp 'SIGNER_EMAIL_ADDR' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes
    Copy to Clipboard Toggle word wrap 

    ec validate image --image ttl.sh/rhtas/test-image:1h --certificate-identity-regexp 'jdoe@example.com' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes

success: true
successes:
  - metadata:
      code: builtin.attestation.signature_check
    msg: Pass
  - metadata:
      code: builtin.attestation.syntax_check
    msg: Pass
  - metadata:
      code: builtin.image.signature_check
    msg: Pass
ec-version: v0.1.2427-499ef12
effective-time: "2024-01-21T19:57:51.338191Z"
key: ""
policy: {}
success: true
    Copy to Clipboard Toggle word wrap

    エンタープライズコントラクトは、セキュリティー違反の詳細を含む pass-fail レポートを生成します。--info フラグを追加すると、レポートには、検出された違反に対する詳細と考えられる解決策が含まれます。

関連情報

1.4. 追加の OpenID Connect プロバイダーの設定
リンクのコピー

システム管理者は、Red Hat の Trusted Artifact Signer サービスで使用するために、さまざまな OpenID Connect (OIDC) プロバイダーを設定できます。ユーザーを認証するために、次の OIDC プロバイダーを設定できます。

  • Red Hat build of Keycloak
  • Red Hat Single Sign-on (SSO)
  • Google
  • Amazon Security Token Service (STS)
  • Microsoft Entra ID
  • GitHub

1.4.1. Google を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
リンクのコピー

Google OAuth 2.0 を Red Hat の Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして使用できます。RHTAS のデプロイメント中、または後で Google OAuth を設定するかどうかを決定できます。

重要

同じ設定で複数の異なる OIDC プロバイダーを定義できます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • oc および podman バイナリーがインストールされたワークステーション。

  • Google Cloud Console から、次の設定を使用して OAuth クライアント ID を作成している。

    • アプリケーションタイプを “Web Application” に設定します。
    • 承認されたリダイレクト URI には http://localhost/auth/callback が含まれている必要があります。

手順

  1. ワークステーションでターミナルを開き、OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  2. RHTAS 設定を更新します。

    1. Securesign リソースを開いて編集します。

      構文

      oc edit Securesign NAME -n NAMESPACE
      Copy to Clipboard Toggle word wrap 

      oc edit Securesign securesign-sample -n trusted-artifact-signer
      Copy to Clipboard Toggle word wrap

      注記

      RHTAS インストール用に作成されたプロジェクト名を namespace として使用する必要があります。

    2. OIDCIssuers セクションで、Google クライアント ID、発行者の URL を含む新しいサブセクションを追加し、Type 値を email に設定します。

      構文

      ...
OIDCIssuers:
  - Issuer: "https://accounts.google.com"
    IssuerURL: "https://accounts.google.com"
    ClientID: "CLIENT_ID"
    Type: email
...
      Copy to Clipboard Toggle word wrap

      Google クライアント識別子を ClientID フィールドに追加します。

    3. 変更を保存し、エディターを終了します。数秒後、Operator は RHTAS ソフトウェアスタックを自動的に再設定します。

  3. OIDC 発行者とクライアント ID 環境変数を Google を使用するように変更します。 

    export OIDC_ISSUER_URL=https://accounts.google.com
export COSIGN_OIDC_CLIENT_ID="314919563931-35zke44ouf2oiztjg7v8o8c2ge9usnd1.apps.googleexample.com"
    Copy to Clipboard Toggle word wrap

  4. Google コンソールからプレーンテキストファイルにシークレットをコピーして貼り付けます。

    構文

    echo SECRET > my-google-client-secret
    Copy to Clipboard Toggle word wrap

  5. RHTAS サービスがすでに実行されている場合は、テストコンテナーイメージに署名して更新された設定を確認できます。

    1. 空のコンテナーイメージを作成します。 

      echo "FROM scratch" > ./tmp.Dockerfile
podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    2. 空のコンテナーイメージを ttl.sh 一時レジストリーにプッシュします。 

      podman push ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. 一時的な Docker ファイルを削除します。 

      rm ./tmp.Dockerfile
      Copy to Clipboard Toggle word wrap

    4. コンテナーイメージに署名します。

      構文

      cosign sign -y --oidc-client-secret-file=SECRET_FILE IMAGE_NAME:TAG
      Copy to Clipboard Toggle word wrap 

      cosign sign -y --oidc-client-secret-file=my-google-client-secret ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

      Web ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。

1.4.2. Red Hat SSO を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
リンクのコピー

Red Hat Single Sign-On (SSO) を、Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect プロバイダーとして使用できます。これにより、アプリケーションとセキュアなサービスに Keycloak 認証環境が提供されます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • Keycloak PostgreSQL データベース用に 1 GB のコンテナーストレージを使用できる。
  • oc バイナリーがインストールされているワークステーション。

手順

  1. cluster-admin ロールを持つユーザーで OpenShift Web コンソールにログインします。

  2. Keycloak サービスをデプロイする新規プロジェクトを作成します。

    1. Administrator パースペクティブのナビゲーションメニューから Home を展開し、Projects をクリックします。
    2. Create Project ボタンをクリックします。
    3. 新しい project namekeycloak-system で、Create ボタンをクリックします。
  3. ナビゲーションメニューから Operators を展開し、OperatorHub をクリックします。
  4. 検索フィールドに sso と入力し、Red Hat Single Sign-on タイルをクリックします。
  5. Install ボタンをクリックして、Operator の詳細を表示します。
  6. まだ設定されていない場合は、Installed Namespace ドロップダウンメニューから keycloak-system を選択します。
  7. Install Operator ページで Install をクリックし、インストールが完了するまで待ちます。
  8. インストールが完了したら、View Operator をクリックします。

  9. ワークステーションターミナルから、OpenShift クラスターにログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  10. Keycloak プロジェクトに切り替えます。 

    oc project keycloak-system
    Copy to Clipboard Toggle word wrap

  11. Keycloak インスタンスを作成します。 

    cat <<EOF | oc apply -f -
apiVersion: keycloak.org/v1alpha1
kind: Keycloak
metadata:
  labels:
    app: sso
  name: keycloak
spec:
  externalAccess:
    enabled: true
  instances: 1
  keycloakDeploymentSpec:
    imagePullPolicy: Always
  postgresDeploymentSpec:
    imagePullPolicy: Always
EOF
    Copy to Clipboard Toggle word wrap

  12. Keycloak レルムを作成します。 

    cat <<EOF | oc apply -f -
apiVersion: keycloak.org/v1alpha1
kind: KeycloakRealm
metadata:
  labels:
    app: sso
  name: trusted-artifact-signer
spec:
  instanceSelector:
    matchLabels:
      app: sso
  realm:
    displayName: Red-Hat-Trusted-Artifact-Signer
    enabled: true
    id: trusted-artifact-signer
    realm: trusted-artifact-signer
    sslRequired: none
EOF
    Copy to Clipboard Toggle word wrap

  13. Keycloak クライアントを作成します。 

    cat <<EOF | oc apply -f -
apiVersion: keycloak.org/v1alpha1
kind: KeycloakClient
metadata:
  labels:
    app: sso
  name: trusted-artifact-signer
spec:
  client:
    attributes:
      request.object.signature.alg: RS256
      user.info.response.signature.alg: RS256
    clientAuthenticatorType: client-secret
    clientId: trusted-artifact-signer
    defaultClientScopes:
    - profile
    - email
    description: Client for Red Hat Trusted Artifact Signer authentication
    directAccessGrantsEnabled: true
    implicitFlowEnabled: false
    name: trusted-artifact-signer
    protocol: openid-connect
    protocolMappers:
    - config:
        claim.name: email
        id.token.claim: "true"
        jsonType.label: String
        user.attribute: email
        userinfo.token.claim: "true"
      name: email
      protocol: openid-connect
      protocolMapper: oidc-usermodel-property-mapper
    - config:
        claim.name: email-verified
        id.token.claim: "true"
        user.attribute: emailVerified
        userinfo.token.claim: "true"
      name: email-verified
      protocol: openid-connect
      protocolMapper: oidc-usermodel-property-mapper
    - config:
        claim.name: aud
        claim.value: trusted-artifact-signer
        id.token.claim: "true"
        access.token.claim: "true"
        userinfo.token.claim: "true"
      name: audience
      protocol: openid-connect
      protocolMapper: oidc-hardcoded-claim-mapper
    publicClient: true
    standardFlowEnabled: true
    redirectUris:
    - "*"
  realmSelector:
    matchLabels:
      app: sso
EOF
    Copy to Clipboard Toggle word wrap

  14. Keycloak ユーザーを作成します。 

    cat <<EOF | oc apply -f -
apiVersion: keycloak.org/v1alpha1
kind: KeycloakUser
metadata:
  labels:
    app: sso
  name: jdoe
spec:
  realmSelector:
    matchLabels:
      app: sso
  user:
    email: jdoe@redhat.com
    enabled: true
    emailVerified: true
    credentials:
      - type: "password"
        value: "secure"
    firstName: Jane
    lastName: Doe
    username: jdoe
EOF
    Copy to Clipboard Toggle word wrap

    ユーザー名、ユーザーのメールアドレス、パスワードを設定するか、秘密オブジェクトを参照します。

  15. OpenShift Web コンソールに戻り、All instances タブをクリックして監視し、Keycloak システムが正常に初期化されるまで待ちます。

Red Hat’s build of Keycloak (RHBK) を Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) として設定できます。この手順では、RHBK と RHTAS を統合する方法を説明します。

重要

同じ SecureSign 設定で、Fulcio の複数の異なる OIDC プロバイダーを定義できます。

前提条件

  • OpenShift Container Platform 4.15 以降への RHTAS インストール。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • oc バイナリーがインストールされているワークステーション。
  • Keycloak PostgreSQL データベース 用に 1 GB の永続ストレージを使用できる。
  • TLS 証明書と鍵

手順

  1. cluster-admin ロールを持つユーザーで OpenShift Web コンソールにログインします。

  2. Keycloak サービスをデプロイする新規プロジェクトを作成します。

    1. Administrator パースペクティブのナビゲーションメニューから Home を展開し、Projects をクリックします。
    2. Create Project ボタンをクリックします。
    3. 新しいプロジェクト名は keycloak-system で、Create ボタンをクリックします。

  3. 永続データを保存するために Keycloak が使用する PostgreSQL インスタンスをデプロイします。

    重要

    Keycloak で使用するデータベースがすでに存在する場合は、データベースインスタンスに対応する Secret リソースの usernamepassword および database 名の値を置き換えます。PostgreSQL サービスと StatefulSet の作成手順をスキップして、次の手順に進むことができます。

    1. データベース情報を保存するための Secret リソースを作成します。

      1. ナビゲーションメニューから Workloads を展開し、Secrets をクリックします。
      2. Project ドロップダウンメニューから keycloak-system を選択します。
      3. Create ドロップダウンメニューをクリックし、Key/Value secret を選択します。
      4. Secret name フィールドに postgresql-db と入力します。
      5. Key フィールドに username を入力します。
      6. Value フィールドに keycloak と入力します。これは、Keycloak が PostgreSQL データベースインスタンスへの認証に使用するユーザー名です。
      7. 別のキーと値のペアを追加するには、Add key/value リンクをクリックします。
      8. Key フィールドに password を入力します。
      9. Value フィールドに任意のパスワードを入力します。これは、Keycloak が PostgreSQL データベースインスタンスへの認証に使用するパスワードです。
      10. 別のキーと値のペアを追加するには、Add key/value リンクをクリックします。
      11. Key フィールドに database を入力します。
      12. Value フィールドに keycloak と入力します。これは、PostgreSQL データベースインスタンス内に Keycloak データを格納するためのデータベースの名前です。
      13. Create ボタンをクリックします。

    2. PostgreSQL サービスと StatefulSet を作成します。

      1. + アイコンをクリックします。
      2. Service および StatefulSet YAML 設定テキスト をコピーしImport YAML ページでテキストエディターボックスに テキストを貼り付けます
      3. Create ボタンをクリックして、Service と StatefulSet を keycloak-system プロジェクトに追加します。

  4. ワークステーションからターミナルを開き、OpenShift クラスターにログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  5. Transport Layer Security (TLS) 証明書と対応する秘密鍵を含めて、新しい Secret リソースを作成します。

    構文

    oc create secret tls SECRET_NAME -n NAMESPACE --cert CERTIFICATE_FILE_NAME --key PRIVATE_KEY_FILE_NAME
    Copy to Clipboard Toggle word wrap 

    oc create secret tls keycloak-tls -n keycloak-system --cert certificate.pem --key key.pem
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift のサービス提供証明書は、Keycloak で使用する TLS 証明書の生成と管理を自動化できます。詳細は 付録 を参照してください。

  6. OpenShift Web コンソールで、ナビゲーションメニューから Operator を展開し、OperatorHub をクリックします。
  7. 検索フィールドに keycloak と入力し、認定済みの Red Hat カタログから Keycloak Operator タイルをクリックします。
  8. Install ボタンをクリックして、Operator の詳細を表示します。
  9. Install Operator ページで、Installed Namespace ドロップダウンメニューから keycloak-system を選択し、Install ボタンをクリックします。インストールが完了するまで待ちます。
  10. インストールが完了したら、View Operator ボタンをクリックします。
  11. Keycloak タイルで Create instance をクリックします。

  12. Create Keycloak ページで、YAML view を選択します。

    1. name の行で、example-keycloak をカスタム名 (例: keycloak) に置き換えます。

    2. ホスト名は、hostname プロパティー内で明示的に指定することも、他のルートと同様に自動的に生成することもできます。hostname の行で、example.org をカスタムホスト名に置き換えます。

      注記

      OpenShift で Keycloak インスタンスのホスト名を生成するために必要な手順は、付録 を参照してください。

    3. spec セクションの下に、データベースの詳細を追加します。 

      spec:
...
  db:
    vendor: postgres
    host: postgresql-db
    usernameSecret:
      name: postgresql-db
      key: username
    passwordSecret:
      name: postgresql-db
      key: password
...
      Copy to Clipboard Toggle word wrap

    4. また、spec セクションの http プロパティーに、TLS 証明書を含む Secret リソースの名前を指定します。 

      spec:
...
  http:
    tlsSecret: keycloak-tls
...
      Copy to Clipboard Toggle word wrap

    5. Create ボタンをクリックします。
  13. Networking ナビゲーションメニューを展開し、Routes をクリックします。
  14. Keycloak 管理コンソールを開くには、Keycloak インスタンスに関連付けられたルートへのリンクをクリックします。
  15. admin ユーザーのデフォルトの認証情報は keycloak-initial-admin という Secret に保存されます。パスワードを見つけるには、Workloads ナビゲーションメニューを展開し、Secrets をクリックします。
  16. keycloak-initial-admin シークレットを選択します。
  17. Data セクションでパスワードキーを見つけて、 copy content icon アイコンをクリックします。
  18. Keycloak 管理コンソールのログインページで、ユーザー名として admin と入力し、前の手順の内容をパスワードとして貼り付けます。

  19. trusted-artifact-signer という新しいレルムを作成します。

    1. ナビゲーションメニューで、Red Hat build of Keycloak ドロップダウンメニューを選択します。
    2. Create Realm を選択します。
    3. リソース名 として trusted-artifact-signer と入力します。
    4. Create をクリックして新しいレルムを作成します。

  20. 新しい ユーザー を作成します。新しいユーザーは、Keycloak 管理コンソールにログインでき、RHTAS を使用してコンテナーとコミットに署名することもできます。

    1. ナビゲーションメニューの Manage セクションで、Clients を選択します。
    2. Create Client ボタンをクリックします
    3. Client Id フィールドに、trusted-artifact-signer と入力します。
    4. オプションで、対応するフィールドに 名前説明 を入力できます。
    5. Next をクリックします。
    6. 新しいクライアント作成プロセスの Capability Config ステップでデフォルトオプションを確定します。
    7. Next をクリックします。
    8. Valid redirect URIs フィールドに * と入力します。
    9. Save をクリックしてクライアントを作成します。
  21. ナビゲーションメニューの Configure セクションで、Realm Settings を選択して、trusted-artifact-signer レルムの Issuer URL を見つけます。
  22. Endpoints の横にある OpenID Endpoint Configuration リンクをクリックします。
  23. issuer プロパティーから URL をコピーします

  24. RHTAS の SecureSign リソースの .spec.fulcio.config.OIDCIssuers セクションで、CLIENT_IDtrusted-artifact-signer に置き換え、URL コンテンツを貼り付けてRHBK_REALM_ISSUER_URL を置き換えます。

    構文

    spec:
...
  fulcio:
    config:
      OIDCIssuers:
        - ClientID: CLIENT_ID
          Issuer: 'RHBK_REALM_ISSUER_URL'
          IssuerURL: 'RHBK_REALM_ISSUER_URL'
          Type: email
...
    Copy to Clipboard Toggle word wrap 

    spec:
...
  fulcio:
    config:
      OIDCIssuers:
        - ClientID: trusted-artifact-signer
          Issuer: 'https://keycloak-ingress-keycloak-system.apps.openshift.example.com/realms/trusted-artifact-signer'
          IssuerURL: 'https://keycloak-ingress-keycloak-system.apps.openshift.example.com/realms/trusted-artifact-signer'
          Type: email
...
    Copy to Clipboard Toggle word wrap

1.4.4. Amazon STS を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
リンクのコピー

Amazon の Security Token Service (STS) を、Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして使用できます。RHTAS のデプロイメント時に、または後で Amazon STS を設定できます。

重要

同じ設定で複数の異なる OIDC プロバイダーを定義できます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • ocpodmanaws バイナリーがインストールされたワークステーション。
  • OpenShift 環境用に管理対象の Amazon Web Service (AWS) リソースを有効にする。

  • 完全な権限を持つ 作成された Amazon アイデンティティーおよびアクセス管理 (IAM) ユーザー。これにより、IAM 操作の実行が可能になります。

    • このユーザーのアクセスキーを作成している。

手順

  1. ワークステーションでターミナルを開き、OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  2. AWS OIDC プロバイダー URL を検索します。 

    oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}'
    Copy to Clipboard Toggle word wrap

  3. RHTAS の設定を更新します。

    1. Securesign リソースを開いて編集します。

      構文

      oc edit Securesign NAME -n NAMESPACE
      Copy to Clipboard Toggle word wrap 

      oc edit Securesign securesign-sample -n trusted-artifact-signer
      Copy to Clipboard Toggle word wrap

      注記

      RHTAS インストール用に作成されたプロジェクト名を namespace として使用する必要があります。

    2. OIDCIssuers セクションで、AWS STS クライアント識別子、発行者の URL を含む新しいサブセクションを追加し、Type の値を kubernetes に設定します。 

      ...
OIDCIssuers:
  - Issuer: "https://example.s3.us-east-1.aws.com/47bd6cg0vs5nn01mue83fbof94dj4m9c"
    IssuerURL: "https://example.s3.us-east-1.aws.com/47bd6cg0vs5nn01mue83fbof94dj4m9c"
    ClientID: "trusted-artifact-signer"
    Type: kubernetes
...
      Copy to Clipboard Toggle word wrap

    3. 変更を保存し、エディターを終了します。数秒後、Operator は RHTAS ソフトウェアスタックを自動的に再設定します。

  4. アクセスキー、シークレットキー、デフォルトのリージョン、および出力形式を入力して、AWS コマンドラインツールを設定します。 

    aws configure
    Copy to Clipboard Toggle word wrap

  5. 以下の環境変数を設定します。 

    export account_id=$(aws sts get-caller-identity --query "Account" --output text)
export oidc_provider="$(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}' | cut -d '/' -f3-)"
export role_name=rhtas-sts
export namespace=rhtas-sts
export service_account=cosign-sts
    Copy to Clipboard Toggle word wrap

  6. 新しく作成された IAM ロールに関連付けられる信頼ポリシーを作成します。 

    cat >trust-relationship.json <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::${account_id}:oidc-provider/${oidc_provider}"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "${oidc_provider}:aud": "trusted-artifact-signer"
        }
      }
    }
  ]
}
EOF
    Copy to Clipboard Toggle word wrap

  7. 信頼ポリシーを使用して、RHTAS サービスの新しい IAM ロールを作成します。 

    aws iam create-role --role-name rhtas-sts --assume-role-policy-document file://trust-relationship.json --description "Red Hat Trusted Artifact Signer STS Role"
    Copy to Clipboard Toggle word wrap

  8. STS が有効になっている OpenShift クラスターで、新しいプロジェクト namespace を作成します。

    構文

    oc new-project NAMESPACE
    Copy to Clipboard Toggle word wrap 

    oc new-project rhtas-sts
    Copy to Clipboard Toggle word wrap

  9. IAM ロールを一時的に設定して、OpenShift プロジェクトの namespace でワークロードを実行するサービスアカウントを作成します。

    1. サービスアカウントマニフェストを作成します。 

      cat >service_account.yaml <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: $service_account
  namespace: $namespace
  annotations:
    eks.amazonaws.com/role-arn: "arn:aws:iam::${account_id}:role/${role_name}"
    # optional: Defaults to "sts.amazonaws.com" if not set
    eks.amazonaws.com/audience: "trusted-artifact-signer"
    # optional: When "true", adds AWS_STS_REGIONAL_ENDPOINTS env var to containers
    eks.amazonaws.com/sts-regional-endpoints: "true"
    # optional: Defaults to 86400 for expirationSeconds if not set
    eks.amazonaws.com/token-expiration: "86400"
EOF
      Copy to Clipboard Toggle word wrap

    2. サービスアカウントマニフェストを OpenShift に適用します。 

      oc apply -f service_account.yaml
      Copy to Clipboard Toggle word wrap

  10. イメージレジストリーに、コンテナーイメージに署名するデプロイメントワークロードを新たに作成します。

    1. デプロイメントマニフェストを作成します。 

      cat >deployment.yaml <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
  name: cosign-sts
  namespace: ${namespace}
spec:
  selector:
    matchLabels:
      app: cosign-sts
  template:
    metadata:
      labels:
        app: cosign-sts
    spec:
      securityContext:
        runAsNonRoot: true
      serviceAccountName: cosign-sts
      containers:
      - args:
        - -c
        - env; cosign initialize --mirror=\$COSIGN_MIRROR --root=\$COSIGN_ROOT; while true; do sleep 86400; done
        command:
        - /bin/sh
        name: cosign
        image: registry.redhat.io/rhtas-tech-preview/cosign-rhel9@sha256:f4c2cec3fc1e24bbe094b511f6fe2fe3c6fa972da0edacaf6ac5672f06253a3e
        pullPolicy: IfNotPresent
        env:
        - name: AWS_ROLE_SESSION_NAME
          value: signer-identity-session
        - name: AWS_REGION
          value: us-east-1
        - name: OPENSHIFT_APPS_SUBDOMAIN
          value: $(oc get cm -n openshift-config-managed  console-public -o go-template="{{ .data.consoleURL }}" | sed 's@https://@@; s/^[^.]*\.//')
        - name: OIDC_AUTHENTICATION_REALM
          value: "trusted-artifact-signer"
        - name: COSIGN_FULCIO_URL
          value: $(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
        - name: COSIGN_OIDC_ISSUER
          value: $(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}')
        - name: COSIGN_CERTIFICATE_OIDC_ISSUER
          value: $(oc get authentication cluster -o jsonpath='{.spec.serviceAccountIssuer}')
        - name: COSIGN_REKOR_URL
          value: $(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
        - name: COSIGN_MIRROR
          value: $(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
        - name: COSIGN_ROOT
          value: "$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)/root.json"
        - name: COSIGN_YES
          value: "true"
        securityContext:
          allowPrivilegeEscalation: false
          capabilities:
            drop:
            - ALL
      dnsPolicy: ClusterFirst
      restartPolicy: Always
      schedulerName: default-scheduler
      securityContext:
        runAsNonRoot: true
      serviceAccount: ${service_account}
      serviceAccountName: ${service_account}
      terminationGracePeriodSeconds: 30
EOF
      Copy to Clipboard Toggle word wrap

    2. デプロイメントマニフェストを OpenShift に適用します。 

      oc apply -f deployment.yaml
      Copy to Clipboard Toggle word wrap

  11. 署名するテストコンテナーイメージを作成します。

    1. 空のコンテナーイメージを作成します。 

      echo "FROM scratch" > ./tmp.Dockerfile
podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    2. 空のコンテナーイメージを ttl.sh 一時レジストリーにプッシュします。 

      podman push ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. 一時的な Docker ファイルを削除します。 

      rm ./tmp.Dockerfile
      Copy to Clipboard Toggle word wrap

  12. テストコンテナーイメージに署名して検証することで、設定を検証します。

    1. 実行中の Pod 内でリモートシェルセッションを開きます。

      構文

      oc rsh -n NAMESPACE deployment/cosign-sts env IMAGE=IMAGE_NAME:TAG /bin/sh
      Copy to Clipboard Toggle word wrap 

      oc rsh -n rhtas-sts deployment/cosign-sts env IMAGE=ttl.sh/rhtas/test-image:1h /bin/sh
      Copy to Clipboard Toggle word wrap

    2. コンテナーイメージに署名します。 

      cosign sign -y --identity-token=$(cat $AWS_WEB_IDENTITY_TOKEN_FILE) ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. 署名済みコンテナーイメージを確認します。 

      cosign verify --certificate-identity=https://kubernetes.io/namespaces/$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace)/serviceaccounts/cosign-sts --certificate-oidc-issuer=$COSIGN_CERTIFICATE_OIDC_ISSUER ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

1.4.5. GitHub を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する手順
リンクのコピー

Red Hat Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして Red Hat のシングルサインオン (SSO) サービスと連携する場合は、GitHub OAuth 2.0 を使用できます。この手順では、OpenShift 上の既存の Red Hat SSO デプロイメントと GitHub OAuth を統合する方法を説明します。

重要

同じ設定で複数の異なる OIDC プロバイダーを定義できます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • 実行中の Red Hat SSO インスタンス。
  • oc バイナリーがインストールされているワークステーション。

  • GitHub OAuth アプリを作成 し、アプリケーションを登録した後、クライアント識別子とシークレットの値をメモします。

    重要

    新しい GitHub OAuth アプリケーションを登録するときは、ホームページ URL認証コールバック URL を指定する必要があります。これらの両方のフィールドにプレースホルダー値を入力します (例: https://localhost:8080)。この手順の後半では、これらのフィールドの目的の値を使用して GitHub OAuth アプリケーションを変更します。

手順

  1. ワークステーションでターミナルを開き、OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  2. Red Hat SSO コンソールにログインします。

    1. コマンドラインから Red Hat SSO コンソール URL を見つけます。 

      oc get routes -n keycloak-system keycloak -o jsonpath='https://{.spec.host}'
      Copy to Clipboard Toggle word wrap

    2. Red Hat SSO コンソールの URL をコピーして、Web ブラウザーに貼り付けます。
    3. Administration Console をクリックします。

    4. コマンドラインから admin パスワードを取得します。 

      oc get secret/credential-keycloak -n keycloak-system -o jsonpath='{ .data.ADMIN_PASSWORD }' | base64 -d
      Copy to Clipboard Toggle word wrap

      このコマンドの出力をコピーします。

    5. Web ブラウザーから admin ユーザーとしてログインし、対応するフィールドにパスワードを貼り付けます。Sign In ボタンをクリックします。
  3. ナビゲーションメニューのドロップダウンからレルムを選択します。

  4. GitHub アイデンティティープロバイダーを追加します。

    1. ナビゲーションメニューから、Identity Providers をクリックします。
    2. Add provider… ドロップダウンメニューから、GitHub を選択します。
    3. GitHub OAuth クライアント識別子を Client ID フィールドに追加します。
    4. GitHub OAuth クライアントシークレットを Client Secret フィールドに追加します。
    5. Trust Email オプションを on にします。
    6. Save ボタンをクリックします。

  5. 新しく作成されたアイデンティティープロバイダーにアイデンティティープロバイダーマッパーを追加します。

    1. Mapper タブをクリックします。
    2. Create ボタンをクリックします。
    3. 新しいマッパーに Name を付けます。
    4. Mapper TypeHardcoded Attribute に変更します。
    5. User Attribute フィールドを emailVerified に設定します。
    6. User Attribute Value フィールドを true に設定します。
    7. Save ボタンをクリックします。
  6. GitHub Identity Provider Settings ページから、Redirect URI 値をコピーし、GitHub OAuth アプリケーション Authorization Callback URL フィールドに貼り付けます。また、同じ値を Homepage URL フィールドに貼り付けますが、URL 文字列の broker/github/endpoint の部分を削除します。
  7. Update Application をクリックします。GitHub を OIDC プロバイダーとして使用して、コミットコンテナー に署名できるようになりました。
  8. アーティファクトに署名すると、Web ブラウザーが開き、Red Hat SSO アカウントにサインインするように求められます。GitHub ボタンをクリックして、認証情報でサインインします。
  9. Authorize ボタンをクリックして、Red Hat SSO が GitHub ユーザーの詳細にアクセスできるようにします。

1.4.6. Microsoft Entra ID を Trusted Artifact Signer の OpenID Connect プロバイダーとして設定する
リンクのコピー

Microsoft Entra ID を、Red Hat の Trusted Artifact Signer (RHTAS) サービスの OpenID Connect (OIDC) プロバイダーとして使用できます。Microsoft Entra ID は RHTAS のデプロイ中または後に設定できます。

注記

Microsoft Entra ID を RHTAS に統合するのにサブスクリプションは必要ありません。

重要

同じ設定で複数の異なる OIDC プロバイダーを定義できます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • リソースを作成する権限を持つ Microsoft Azure アカウント
  • アーティファクトに署名するユーザーの Azure 検証済みメールアドレス
  • Microsoft Azure コマンドラインインターフェイスへのアクセス
  • occosignpodmanaz バイナリーがインストールされたワークステーション

手順

  1. ワークステーションでターミナルを開きます。

  2. クライアントを表す Microsoft Entra ID 内にアプリケーション登録を作成します。 

    export RHTAS_APP_REGISTRATION=$(az ad app create --display-name=rhtas --web-redirect-uris=http://localhost:0/auth/callback --enable-id-token-issuance --query appId -o tsv)
    Copy to Clipboard Toggle word wrap

  3. ユーザーがアプリケーション登録を使用して ID トークンを取得できるようにする新しいクライアントシークレットを作成します。 

    export RHTAS_APP_REGISTRATION_CLIENT_SECRET=$(az ad app credential reset --id=$RHTAS_APP_REGISTRATION --display-name="RHTAS Client Secret" -o tsv --query 'password')
    Copy to Clipboard Toggle word wrap

    注記

    デフォルトでは、クライアントシークレットの有効期間は 1 年間のみです。この値は --years または --end-date フラグを使用してカスタマイズできます。

  4. 新しいクレームマッピングポリシーを作成して、email_verified という名前の新しい JWT クレームを定義し、静的な値 true を使用します。 

    az rest -m post --headers Content-Type=application/json --uri https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies --body '{"definition": ["{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\", \"ClaimsSchema\":[{\"value\":\"true\",\"JwtClaimType\":\"email_verified\"}]}}"],"displayName": "EmailVerified"}'
    Copy to Clipboard Toggle word wrap

  5. アプリケーション登録オブジェクト ID を取得します。 

    export RHTAS_APP_REGISTRATION_OBJ_ID=$(az ad app show --id $RHTAS_APP_REGISTRATION --output tsv --query id)
    Copy to Clipboard Toggle word wrap

  6. アプリケーション登録のマニフェストを更新します。 

    az rest --method PATCH --uri https://graph.microsoft.com/v1.0/applications/${RHTAS_APP_REGISTRATION_OBJ_ID} --headers 'Content-Type=application/json' --body "{\"api\":{\"acceptMappedClaims\":true}}"
    Copy to Clipboard Toggle word wrap

  7. 新しいサービスプリンシパルを作成し、それをアプリケーション登録に関連付けます。 

    export SERVICE_PRINCIPAL_ID=$(az ad sp create --id=${RHTAS_APP_REGISTRATION} -o tsv --query 'id')
    Copy to Clipboard Toggle word wrap

  8. クレームマッピングポリシー ID を取得します。 

    export CLAIM_MAPPING_POLICY_ID=$(az rest --uri https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies -o tsv --query "value[?displayName=='EmailVerified'] | [0].id")
    Copy to Clipboard Toggle word wrap

  9. クレームマッピングポリシーをサービスプリンシパルに関連付けます。 

    az rest -m post --headers Content-Type=application/json --uri "https://graph.microsoft.com/v1.0/servicePrincipals/${SERVICE_PRINCIPAL_ID}/claimsMappingPolicies/\$ref" --body "{\"@odata.id\": \"https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/${CLAIM_MAPPING_POLICY_ID}\"}"
    Copy to Clipboard Toggle word wrap

  10. テナント ID を取得します。 

    export TENANT_ID=$(az account show -o tsv --query tenantId)
    Copy to Clipboard Toggle word wrap

  11. OIDC エンドポイントを取得します。 

    export ENTRA_ID_OIDC_ENDPOINT=$(echo https://login.microsoftonline.com/${TENANT_ID}/v2.0)
    Copy to Clipboard Toggle word wrap

  12. RHTAS 設定を更新します。

    1. Securesign リソースを開いて編集します。

      構文

      oc edit Securesign NAME -n NAMESPACE
      Copy to Clipboard Toggle word wrap 

      oc edit Securesign securesign-sample -n trusted-artifact-signer
      Copy to Clipboard Toggle word wrap

      注記

      RHTAS インストール用に作成されたプロジェクト名を namespace として使用する必要があります。

    2. OIDCIssuers セクションで、クライアント ID、発行者の URL を含む新しいサブセクションを追加し、Type 値を email に設定します。

      構文

      ...
OIDCIssuers:
  - Issuer: "${ENTRA_ID_OIDC_ENDPOINT}"
    IssuerURL: "${ENTRA_ID_OIDC_ENDPOINT}"
    ClientID: "${RHTAS_APP_REGISTRATION}"
    Type: email
...
      Copy to Clipboard Toggle word wrap

    3. 変更を保存し、エディターを終了します。数秒後、Operator は RHTAS ソフトウェアスタックを自動的に再設定します。

  13. ローカルクライアントシークレットファイルを作成します。 

    echo $RHTAS_APP_REGISTRATION_CLIENT_SECRET > rhtas-entra-id-client-secret
    Copy to Clipboard Toggle word wrap

  14. アーティファクトに署名するためのシェル環境を設定します。 

    export TUF_URL=$(oc get tuf -n trusted-artifact-signer -o jsonpath='{.items[0].status.url}')
export OIDC_ISSUER_URL=$(oc get securesign -n trusted-artifact-signer rhtas -o jsonpath='{ .spec.fulcio.config.OIDCIssuers[0].Issuer }')
export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export COSIGN_MIRROR=$TUF_URL
export COSIGN_ROOT=$TUF_URL/root.json
export COSIGN_OIDC_CLIENT_ID=$RHTAS_APP_REGISTRATION
export SIGSTORE_OIDC_CLIENT_ID=$COSIGN_OIDC_CLIENT_ID
export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_YES="true"
export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer)
export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL
export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER
export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL
export COSIGN_OIDC_CLIENT_SECRET_FILE=$(pwd)/rhtas-entra-id-client-secret
    Copy to Clipboard Toggle word wrap

  15. 署名のためにローカルマシンを初期化します。 

    $ cosign initialize
    Copy to Clipboard Toggle word wrap

  16. テストコンテナーイメージに署名して、更新された設定を確認します。

    1. 空のコンテナーイメージを作成します。 

      echo "FROM scratch" > ./tmp.Dockerfile
podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    2. 空のコンテナーイメージを ttl.sh 一時レジストリーにプッシュします。 

      podman push ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. 一時的な Docker ファイルを削除します。 

      rm ./tmp.Dockerfile
      Copy to Clipboard Toggle word wrap

    4. コンテナーイメージに署名します。

      構文

      cosign sign -y --oidc-client-secret-file=SECRET_FILE IMAGE_NAME:TAG
      Copy to Clipboard Toggle word wrap 

      cosign sign -y --oidc-client-secret-file=rhtas-entra-id-client-secret ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

      Web ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。

1.5. Trusted Artifact Signer の代替データベースの設定
リンクのコピー

Trillian の Red Hat Trusted Artifact Signer (RHTAS) デフォルトデータベースを、外部で管理されている MariaDB データベースインスタンスに置き換えることができます。データベースインスタンスとして、Amazon の Relational Database Service (RDS) などのクラウドホスト型データベースプロバイダー、または OpenShift での独自のデータベースデプロイメントなどが使用できます。

1.5.1. 前提条件
リンクのコピー

  • Red Hat OpenShift Container Platform バージョン 4.13、4.14、または 4.15。

1.5.2. Trusted Artifact Signer のための Amazon RDS の設定
リンクのコピー

この手順を使用すると、Trillian 用の Red Hat の Trusted Artifact Signer (RHTAS) デフォルトデータベースを、Amazon の Relational Database Service (RDS) で管理されている MariaDB インスタンスに置き換えることができます。

重要

Red Hat では、実稼働環境のワークロードには可用性の高い MariaDB データベースを使用することを推奨しています。

前提条件

  • Amazon RDS コンソールにアクセスできる Amazon Web Services (AWS) アカウント。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • occurl、および mysql バイナリーがインストールされているワークステーション。
  • データベースを作成し、MariaDB インスタンスにデータを入力する権限を持つコマンドラインアクセス。

手順

  1. Amazon RDS コンソール を開き、新しい MariaDB インスタンスを 作成 します。

    1. MariaDB インスタンスがデプロイされ、利用可能になるまで待ちます。

  2. ワークステーションから、リージョンエンドポイント、ポート、およびユーザー認証情報を指定して、新しいデータベースにログインします。

    構文

    mysql -h REGIONAL_ENDPOINT -P 3306 -u USER_NAME -p
    Copy to Clipboard Toggle word wrap 

    mysql -h exampledb.1234.us-east-1.rds.amazonaws.com -P 3306 -u admin -p
    Copy to Clipboard Toggle word wrap

  3. trillian という名前の新規データベースを作成します。 

    create database trillian;
    Copy to Clipboard Toggle word wrap

  4. 新規作成したデータベースに切り替えます。 

    use trillian;
    Copy to Clipboard Toggle word wrap

  5. trillian という名前の新しいデータベースユーザーを作成し、新しく作成したユーザーに PASSWORD を設定します。

    構文

    CREATE USER trillian@'%' IDENTIFIED BY 'PASSWORD';
GRANT ALL PRIVILEGES ON trillian.* TO 'trillian'@'%';
FLUSH PRIVILEGES;
    Copy to Clipboard Toggle word wrap

  6. データベースから切断します。 

    EXIT
    Copy to Clipboard Toggle word wrap

  7. データベース設定ファイルをダウンロードします。 

    curl -o dbconfig.sql https://raw.githubusercontent.com/securesign/trillian/main/storage/mysql/schema/storage.sql
    Copy to Clipboard Toggle word wrap

  8. データベース設定を新しいデータベースに適用します。

    構文

    mysql -h FQDN_or_SERVICE_ADDR -P 3306 -u USER_NAME -p PASSWORD -D DB_NAME < PATH_TO_CONFIG_FILE
    Copy to Clipboard Toggle word wrap 

    mysql -h rhtasdb.example.com -P 3306 -u trillian -p mypassword123 -D trillian < dbconfig.sql
    Copy to Clipboard Toggle word wrap

  9. ワークステーションでターミナルを開き、OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  10. 以前に作成した MariaDB インスタンス内の Trillian データベースの認証情報を含む新しい Secret を作成します。

    構文

    oc create secret generic OBJECT_NAME \
--from-literal=mysql-database=trillian \
--from-literal=mysql-host=FQDN_or_SERVICE_ADDR \
--from-literal=mysql-password=PASSWORD \
--from-literal=mysql-port=3306 \
--from-literal=mysql-root-password=PASSWORD \
--from-literal=mysql-user=USER_NAME
    Copy to Clipboard Toggle word wrap 

    oc create secret generic trillian-mysql \
--from-literal=mysql-database=trillian \
--from-literal=mysql-host=mariadb.trusted-artifact-signer.svc.cluster.local \
--from-literal=mysql-password=mypassword123 \
--from-literal=mysql-port=3306 \
--from-literal=mysql-root-password=myrootpassword123 \
--from-literal=mysql-user=trillian
    Copy to Clipboard Toggle word wrap

    MariaDB インスタンスには OpenShift 内部サービス名を使用できます。

  11. これで、このデータベースを使用するために Trusted Artifact Signer サービスをデプロイできるようになりました。Trusted Artifact Signer のインストール手順に従っていた場合は、次の手順 に進むことができます。

1.5.3. Trusted Artifact Signer 用の OpenShift でのデータベース設定
リンクのコピー

この手順を使用すると、Trillian 用の Red Hat の Trusted Artifact Signer (RHTAS) デフォルトデータベースを、Amazon の Relational Database Service (RDS) で管理されている MariaDB インスタンスに置き換えることができます。

重要

Red Hat では、実稼働環境のワークロードには可用性の高い MariaDB データベースを使用することを推奨しています。

前提条件

  • OpenShift プロジェクトを作成して OpenShift サンプルカタログからデータベースインスタンスをデプロイする権限。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • occurl、および mysql バイナリーがインストールされているワークステーション。
  • データベースを作成し、MariaDB インスタンスにデータを入力する権限を持つコマンドラインアクセス。

手順

  1. RHTAS サービスをデプロイしている OpenShift Web コンソールにログインします。
  2. Developer パースペクティブに切り替えます。

  3. プロジェクトがすでに存在する場合は、trusted-artifact-signer プロジェクトを選択し、存在しない場合はデータベース用に新しいプロジェクトを作成します。

    1. 新規プロジェクトを作成するには、ドロップダウンプロジェクトメニューをクリックして、Create Project ボタンをクリックします。
    2. 新規プロジェクトに trusted-artifact-signer という名前を付けて、Create ボタンをクリックします。
  4. Developer Catalog カードで Database をクリックします。

  5. MariaDB を選択し、Instantiate Template ボタンをクリックします。

    重要

    MariaDB (Ephemeral) を選択しないでください。

  6. Instantiate Template ページで、以下のフィールドを設定します。

    1. MariaDB データベース名 フィールドに trillian と入力します。
    2. Volume Capacity フィールドに 5Gi を入力します。
    3. Create ボタンをクリックします。

  7. リモートシェルセッションを開始します。

    1. Topology ページで MariaDB Pod を選択するとサイドパネルが表示されるので、Resources タブをクリックします。
    2. Pods セクションで、MariaDB の Pod 名をクリックします。
    3. Terminal タブをクリックして、MariaDB Pod へのリモートシェルセッションを開始します。

  8. リモートシェルセッションで、Trillian データベースに接続できることを確認します。 

    $ mysql -u $MYSQL_USER -p$MYSQL_PASSWORD -D$MYSQL_DATABASE
    Copy to Clipboard Toggle word wrap

    注記

    認証情報は、サービス名 (mariadb) と一緒にシークレットオブジェクトに保存され、これにはデータベースの名前、ユーザー名、およびデータベースのルートパスワードが含まれます。これらの認証情報は、後でデータベースシークレットオブジェクトを作成するときに使用されるため、メモしておいてください。

  9. データベースから切断します。 

    EXIT
    Copy to Clipboard Toggle word wrap

  10. データベース設定ファイルをダウンロードします。 

    curl -o dbconfig.sql https://raw.githubusercontent.com/securesign/trillian/main/storage/mysql/schema/storage.sql
    Copy to Clipboard Toggle word wrap

  11. データベース設定を新しいデータベースに適用します。

    構文

    mysql -h FQDN_or_SERVICE_ADDR -P 3306 -u USER_NAME -p PASSWORD -D DB_NAME < PATH_TO_CONFIG_FILE
    Copy to Clipboard Toggle word wrap 

    mysql -h rhtasdb.example.com -P 3306 -u trillian -p mypassword123 -D trillian < dbconfig.sql
    Copy to Clipboard Toggle word wrap

  12. ワークステーションでターミナルを開き、OpenShift にログインします。

    構文

    oc login --token=TOKEN --server=SERVER_URL_AND_PORT
    Copy to Clipboard Toggle word wrap 

    oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
    Copy to Clipboard Toggle word wrap

    注記

    OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

  13. 以前に作成した MariaDB インスタンス内の Trillian データベースの認証情報を含む新しい Secret を作成します。

    構文

    oc create secret generic OBJECT_NAME \
--from-literal=mysql-database=trillian \
--from-literal=mysql-host=FQDN_or_SERVICE_ADDR \
--from-literal=mysql-password=PASSWORD \
--from-literal=mysql-port=3306 \
--from-literal=mysql-root-password=PASSWORD \
--from-literal=mysql-user=USER_NAME
    Copy to Clipboard Toggle word wrap 

    oc create secret generic trillian-mysql \
--from-literal=mysql-database=trillian \
--from-literal=mysql-host=mariadb.trusted-artifact-signer.svc.cluster.local \
--from-literal=mysql-password=mypassword123 \
--from-literal=mysql-port=3306 \
--from-literal=mysql-root-password=myrootpassword123 \
--from-literal=mysql-user=trillian
    Copy to Clipboard Toggle word wrap

    MariaDB インスタンスには OpenShift 内部サービス名を使用できます。

  14. これで、このデータベースを使用するために Trusted Artifact Signer サービスをデプロイできるようになりました。Trusted Artifact Signer のインストール手順に従っていた場合は、次の手順 に進むことができます。

1.6. Keycloak の TLS 証明書を生成するための OpenShift サービス提供証明書の設定
リンクのコピー

OpenShift のサービス提供証明書は、Keycloak で使用するための Transport Layer Security (TLS) 証明書の生成と管理を自動化できます。OpenShift クラスター内の Ingress Controller などのインフラストラクチャーコンポーネントは、これらの TLS 証明書を信頼します。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • RHBK Operator のインストール。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。

手順

  1. OpenShift Web コンソールの Administrator パースペクティブで、ナビゲーションメニューから Home を展開し、Projects をクリックします。
  2. keycloak を検索し、keycloak-system 名前空間を選択します。

  3. 新しいサービスを作成します。

    1. + アイコンをクリックします。

    2. Import YAML テキストボックスで、例をコピーしてテキストボックスに貼り付けます。 

      apiVersion: v1
kind: Service
metadata:
  annotations:
    service.beta.openshift.io/serving-cert-secret-name: keycloak-tls
  labels:
    app: keycloak
    app.kubernetes.io/instance: keycloak
  name: keycloak-service-trusted
  namespace: keycloak-system
spec:
  internalTrafficPolicy: Cluster
  ipFamilies:
  - IPv4
  ipFamilyPolicy: SingleStack
  ports:
  - name: https
    port: 8443
  selector:
    app: keycloak
    app.kubernetes.io/instance: keycloak
      Copy to Clipboard Toggle word wrap

    3. Create ボタンをクリックします。
  4. ナビゲーションメニューから Operator を展開し、Installed Operator をクリックして、Keycloak Operator をクリックします。

  5. Keycloak リソースの YAML viewspec セクションに、ingress プロパティーを追加します。 

    spec:
...
  ingress:
    annotations:
      route.openshift.io/destination-ca-certificate-secret: keycloak-tls
      route.openshift.io/termination: reencrypt
...
    Copy to Clipboard Toggle word wrap

    デフォルトでは、Keycloak Operator はルートではなく Ingress リソースを作成します。OpenShift は Ingress 定義に基づいてルートを自動的に作成します。

  6. spec セクションに、TLS 証明書を含むシークレットの名前を指定します。 

    spec:
...
  http:
    tlsSecret: keycloak-tls
...
    Copy to Clipboard Toggle word wrap

    Keycloak が起動すると、OpenShift のサービス提供証明書が Keycloak の TLS 証明書の生成を開始します。

1.7. Keycloak ホスト名の自動生成
リンクのコピー

OpenShift ルートは、設定されたパターンを使用してホスト名を自動的に生成する機能をサポートしています。この機能は、OpenShift 上で実行されている Red Hat’s build of Keycloak (RHBK) operator と統合できます。

前提条件

  • Red Hat OpenShift Container Platform 4.15 以降。
  • RHBK Operator のインストール。
  • cluster-admin ロールでの OpenShift Web コンソールへのアクセス。
  • oc バイナリーがインストールされているワークステーション。

手順

  1. 自動生成されたルートホスト名機能を有効にします。

    1. .spec セクションの下で、hostname セクション全体を削除し、Keycloak リソース内の ingress セクションと className プロパティーに置き換えます。 

      spec:
...
  hostname:
    hostname: example.com
...
      Copy to Clipboard Toggle word wrap 

      spec:
...
  ingress:
    className: openshift-default
...
      Copy to Clipboard Toggle word wrap

      注記

      利用可能なすべての Ingress クラスを表示するには、次のコマンドを実行します。 

      oc get ingressclass
      Copy to Clipboard Toggle word wrap
    2. Save ボタンをクリックします。

  2. 最新の設定を表示するには、Reload ボタンをクリックして、自動的に生成された hostname を確認します。 

    spec:
...
  hostname:
    hostname: example-keycloak-ingress-keycloak-system.apps.rhtas.example.com
...
    Copy to Clipboard Toggle word wrap

第2章 Red Hat Enterprise Linux
リンクのコピー

2.1. Ansible を使用した Trusted Artifact Signer のインストール
リンクのコピー

Red Hat が提供する Ansible Playbook を使用して、Red Hat Enterprise Linux に Red Hat Trusted Artifact Signer (RHTAS) をインストールできます。このデプロイメントでは、Keycloak を OpenID Connect (OIDC) プロバイダーとして使用した基本的な署名フレームワークが提供されます。

警告

Red Hat は、実稼働環境では Ansible ロギングを詳細モードまたはデバッグモードで使用しないことを推奨しています。

詳細は、Ansible の ドキュメント を参照してください。

前提条件

  • Red Hat Enterprise Linux バージョン 9.4 以降。
  • Red Hat Hybrid Cloud Console にアクセスする Red Hat ユーザーアカウント。

手順

  1. Red Hat 認証情報を使用して Red Hat Hybrid Cloud コンソール にログインします。
  2. ホームページから、Services ドロップダウンメニューをクリックし、Red Hat Ansible Automation Platform をクリックします。
  3. ナビゲーションメニューから Automation Hub を展開し、Collections をクリックします。
  4. 検索フィールドに rhtas と入力し、Enter キーを押します。
  5. Red Hat Trusted Artifact Signer タイルの artifact_signer リンクをクリックします。

  6. Documentation タブをクリックし、そこに記載されている手順に従って、Red Hat Enterprise Linux への RHTAS のインストールを完了します。

    注記

    すべての設定パラメーターの詳細な概要は、Roles セクションの tas_single_node リンクをクリックしてください。

2.2. 信頼できるアーティファクト署名のインストールの確認
リンクのコピー

システム管理者として、Red Hat Enterprise Linux 上で実行されている Red Hat Trusted Artifact Signer (RHTAS) のデプロイメントが成功したかどうかを確認できます。

テストコンテナーイメージに署名し、その署名の信頼性を検証して、環境内での RHTAS のデプロイメントを検証できます。

コードパイプラインからアーティファクトビルドに署名する方法は 2 つ、検証する方法は 3 つあります。cosigngitsign を使用して署名および検証できますが、検証できるのは Enterprise Contract のみです。

2.2.1. コマンドラインインターフェイスから Cosign を使用したコンテナーの署名と検証
リンクのコピー

cosign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Open Container Initiative (OCI) コンテナーイメージや他のビルドアーティファクトに署名し、検証する機能が提供されます。

重要

RHTAS の場合、cosign バージョン 2.2 以降を使用する必要があります。

前提条件

  • Ansible によって管理される Red Hat Enterprise Linux 9.4 以降で実行される RHTAS のインストール。
  • podman バイナリーがインストールされたワークステーション。

手順

  1. ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから cosign バイナリーをワークステーションにダウンロードします。

    注記

    URL アドレスは、tas_single_node_base_hostname 変数によって定義された設定済みノードです。tas_single_node_base_hostname の値が example.com の場合、URL アドレスの例は https://cli-server.example.com です。

    1. ダウンロードページから、cosign ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。

    2. ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。 

      gunzip cosign-amd64.gz
chmod +x cosign-amd64
      Copy to Clipboard Toggle word wrap

    3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv cosign-amd64 /usr/local/bin/cosign
      Copy to Clipboard Toggle word wrap

  2. コンテナーイメージの署名と検証を行うためにシェル環境を設定します。 

    export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE
export TUF_URL="https://tuf.${BASE_HOSTNAME}"
export OIDC_ISSUER_URL=OIDC_ISSUER_URL
export COSIGN_FULCIO_URL="https://fulcio.${BASE_HOSTNAME}"
export COSIGN_REKOR_URL="https://rekor.${BASE_HOSTNAME}"
export COSIGN_MIRROR=$TUF_URL
export COSIGN_ROOT=$TUF_URL/root.json
export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer"
export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_YES="true"
export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL
export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER
export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL
export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL
    Copy to Clipboard Toggle word wrap

    BASE_HOSTNAME_OF_RHTAS_SERVICEtas_single_node_base_hostname 変数の値に置き換え、OIDC_ISSUER_URL は OpenID Connect (OIDC) プロバイダーの URL 文字列に置き換えます。

  3. The Update Framework (TUF) システムを初期化します。 

    cosign initialize
    Copy to Clipboard Toggle word wrap

  4. テストコンテナーイメージに署名します。

    1. 空のコンテナーイメージを作成します。 

      echo "FROM scratch" > ./tmp.Dockerfile
podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    2. 空のコンテナーイメージを ttl.sh 一時レジストリーにプッシュします。 

      podman push ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. コンテナーイメージに署名します。

      構文

      cosign sign -y IMAGE_NAME:TAG
      Copy to Clipboard Toggle word wrap 

      cosign sign -y ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

      Web ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。

    4. 一時的な Docker ファイルを削除します。 

      rm ./tmp.Dockerfile
      Copy to Clipboard Toggle word wrap

  5. 証明書 ID と発行者を使用して、署名済みコンテナーイメージを確認します。

    構文

    cosign verify --certificate-identity=SIGNING_EMAIL_ADDR IMAGE_NAME:TAG
    Copy to Clipboard Toggle word wrap 

    cosign verify --certificate-identity=jdoe@redhat.com ttl.sh/rhtas/test-image:1h
    Copy to Clipboard Toggle word wrap

    注記

    cosign コマンドと --certificate-identity-regexp および --certificate-oidc-issuer-regexp オプションを使用して、証明書の ID と発行者に正規表現を使用することもできます。

  6. ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから rekor-cli バイナリーをワークステーションにダウンロードします。

    1. Web ブラウザーを開き、CLI サーバーの Web ページに移動します。

      注記

      URL アドレスは、tas_single_node_base_hostname 変数によって定義された設定済みノードです。tas_single_node_base_hostname の値が example.com の場合、URL アドレスの例は https://cli-server.example.com です。

    2. ダウンロードページから rekor-cli ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。

    3. ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。 

      gunzip rekor-cli-amd64.gz
chmod +x rekor-cli-amd64
      Copy to Clipboard Toggle word wrap

    4. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
      Copy to Clipboard Toggle word wrap

  7. Rekor コマンドラインインターフェイスを使用して透明性ログをクエリーします。

    1. ログインデックスに基づき検索します。 

      rekor-cli get --log-index 0 --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap

    2. ユニバーサルユニーク ID (UUID) を取得するために、メールアドレスを検索します。

      構文

      rekor-cli search --email SIGNING_EMAIL_ADDR --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap 

      rekor-cli search --email jdoe@redhat.com --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap

      このコマンドは、次の手順で使用する UUID を返します。

    3. UUID を使用してトランザクションの詳細を取得します。

      構文

      rekor-cli get --uuid UUID --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap 

      rekor-cli get --uuid 24296fb24b8ad77a71b9c1374e207537bafdd75b4f591dcee10f3f697f150d7cc5d0b725eea641e7 --rekor_server $COSIGN_REKOR_URL --format json | jq
      Copy to Clipboard Toggle word wrap

2.2.2. コマンドラインインターフェイスから Gitsign を使用したコミットの署名および検証
リンクのコピー

gitsign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Git リポジトリーのコミットに署名し、検証することができます。

前提条件

  • Ansible によって管理される Red Hat Enterprise Linux 9.4 以降で実行される RHTAS のインストール。

  • git および cosign バイナリーがインストールされたワークステーション。

    • cosign バージョン 2.2 以降を使用する必要があります。

手順

  1. ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから gitsign バイナリーをワークステーションにダウンロードします。

    注記

    URL アドレスは、tas_single_node_base_hostname 変数によって定義された設定済みノードです。tas_single_node_base_hostname の値が example.com の場合、URL アドレスの例は https://cli-server.example.com です。

    1. ダウンロードページから、gitsign ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。

    2. ワークステーションでターミナルを開き、.gz ファイルを展開して、実行ビットを設定します。 

      gunzip gitsign-amd64.gz
chmod +x gitsign-amd64
      Copy to Clipboard Toggle word wrap

    3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv gitsign-amd64 /usr/local/bin/gitsign
      Copy to Clipboard Toggle word wrap

  2. コミットの署名と検証を行うためにシェル環境を設定します。 

    export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE
export TUF_URL="https://tuf.${BASE_HOSTNAME}"
export OIDC_ISSUER_URL=OIDC_ISSUER_URL
export COSIGN_FULCIO_URL="https://fulcio.${BASE_HOSTNAME}"
export COSIGN_REKOR_URL="https://rekor.${BASE_HOSTNAME}"
export COSIGN_MIRROR=$TUF_URL
export COSIGN_ROOT=$TUF_URL/root.json
export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer"
export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_YES="true"
export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL
export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER
export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL
export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL
    Copy to Clipboard Toggle word wrap

    BASE_HOSTNAME_OF_RHTAS_SERVICEtas_single_node_base_hostname 変数の値に置き換え、OIDC_ISSUER_URL は OpenID Connect (OIDC) プロバイダーの URL 文字列に置き換えます。

  3. RHTAS サービスを使用してコミットに署名するようにローカルリポジトリー設定を指定します。 

    git config --local commit.gpgsign true
git config --local tag.gpgsign true
git config --local gpg.x509.program gitsign
git config --local gpg.format x509
git config --local gitsign.fulcio $SIGSTORE_FULCIO_URL
git config --local gitsign.rekor $SIGSTORE_REKOR_URL
git config --local gitsign.issuer $SIGSTORE_OIDC_ISSUER
git config --local gitsign.clientID trusted-artifact-signer
    Copy to Clipboard Toggle word wrap

  4. ローカルリポジトリーにコミットを作成します。 

    git commit --allow-empty -S -m “Test of a signed commit”
    Copy to Clipboard Toggle word wrap

    Web ブラウザーが開いて、メールアドレスでコミットに署名できます。

  5. The Update Framework (TUF) システムを初期化します。 

    cosign initialize
    Copy to Clipboard Toggle word wrap

  6. コミットを確認します。

    構文

    gitsign verify --certificate-identity=SIGNING_EMAIL --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
    Copy to Clipboard Toggle word wrap 

    gitsign verify --certificate-identity=jdoe@redhat.com --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
    Copy to Clipboard Toggle word wrap

2.2.3. エンタープライズコントラクトを使用したコンテナーイメージの署名の検証
リンクのコピー

Enterprise Contract (EC) は、ソフトウェアサプライチェーンのセキュリティーを維持するためのツールであり、これを使用してコンテナーイメージのポリシーを定義および適用できます。ec バイナリーを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) 署名フレームワークを使用するコンテナーイメージのアテステーションと署名を検証できます。

前提条件

  • Ansible によって管理される Red Hat Enterprise Linux 9.4 以降で実行される RHTAS のインストール。

  • cosign および podman バイナリーがインストールされたワークステーション。

    • cosign バージョン 2.2 以降を使用する必要があります。

手順

  1. ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから ec バイナリーをワークステーションにダウンロードします。

    注記

    URL アドレスは、tas_single_node_base_hostname 変数によって定義された設定済みノードです。tas_single_node_base_hostname の値が example.com の場合、URL アドレスの例は https://cli-server.example.com です。

    1. ダウンロードページから、ec ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。

    2. ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。 

      gunzip ec-amd64.gz
chmod +x ec-amd64
      Copy to Clipboard Toggle word wrap

    3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。 

      sudo mv ec-amd64 /usr/local/bin/ec
      Copy to Clipboard Toggle word wrap

  2. コンテナーイメージの署名と検証を行うためにシェル環境を設定します。 

    export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE
export TUF_URL="https://tuf.${BASE_HOSTNAME}"
export OIDC_ISSUER_URL=OIDC_ISSUER_URL
export COSIGN_FULCIO_URL="https://fulcio.${BASE_HOSTNAME}"
export COSIGN_REKOR_URL="https://rekor.${BASE_HOSTNAME}"
export COSIGN_MIRROR=$TUF_URL
export COSIGN_ROOT=$TUF_URL/root.json
export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer"
export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL
export COSIGN_YES="true"
export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL
export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER
export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL
export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL
    Copy to Clipboard Toggle word wrap

    BASE_HOSTNAME_OF_RHTAS_SERVICEtas_single_node_base_hostname 変数の値に置き換え、OIDC_ISSUER_URL は OpenID Connect (OIDC) プロバイダーの URL 文字列に置き換えます。

  3. The Update Framework (TUF) システムを初期化します。 

    cosign initialize
    Copy to Clipboard Toggle word wrap

  4. テストコンテナーイメージに署名します。

    1. 空のコンテナーイメージを作成します。 

      echo "FROM scratch" > ./tmp.Dockerfile
podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    2. 空のコンテナーイメージを ttl.sh 一時レジストリーにプッシュします。 

      podman push ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

    3. コンテナーイメージに署名します。

      構文

      cosign sign -y IMAGE_NAME:TAG
      Copy to Clipboard Toggle word wrap 

      cosign sign -y ttl.sh/rhtas/test-image:1h
      Copy to Clipboard Toggle word wrap

      Web ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。

    4. 一時的な Docker ファイルを削除します。 

      rm ./tmp.Dockerfile
      Copy to Clipboard Toggle word wrap

  5. predicate.json ファイルを作成します。 

    {
  "builder": {
    "id": "https://localhost/dummy-id"
  },
  "buildType": "https://example.com/tekton-pipeline",
  "invocation": {},
  "buildConfig": {},
  "metadata": {
    "completeness": {
      "parameters": false,
      "environment": false,
      "materials": false
    },
    "reproducible": false
  },
  "materials": []
}
    Copy to Clipboard Toggle word wrap

    スキーマレイアウトの詳細は、SLSA provenance predicate specifications を参照してください。

  6. predicate.json ファイルをコンテナーイメージに関連付けます。

    構文

    cosign attest -y --predicate ./predicate.json --type slsaprovenance IMAGE_NAME:TAG
    Copy to Clipboard Toggle word wrap 

    cosign attest -y --predicate ./predicate.json --type slsaprovenance ttl.sh/rhtas/test-image:1h
    Copy to Clipboard Toggle word wrap

  7. コンテナーイメージにアテステーションと署名が 1 つ以上含まれていることを確認します。

    構文

    cosign tree IMAGE_NAME:TAG
    Copy to Clipboard Toggle word wrap 

    cosign tree ttl.sh/rhtas/test-image:1h

📦 Supply Chain Security Related artifacts for an image: ttl.sh/rhtas/test-image@sha256:7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35
└── 💾 Attestations for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.att
   └── 🍒 sha256:40d94d96a6d3ab3d94b429881e1b470ae9a3cac55a3ec874051bdecd9da06c2e
└── 🔐 Signatures for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.sig
   └── 🍒 sha256:f32171250715d4538aec33adc40fac2343f5092631d4fc2457e2116a489387b7
    Copy to Clipboard Toggle word wrap

  8. Enterprise Contact を使用してコンテナーイメージを確認します。

    構文

    ec validate image --image IMAGE_NAME:TAG --certificate-identity-regexp 'SIGNER_EMAIL_ADDR' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes
    Copy to Clipboard Toggle word wrap 

    ec validate image --image ttl.sh/rhtas/test-image:1h --certificate-identity-regexp 'jdoe@example.com' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes

success: true
successes:
  - metadata:
      code: builtin.attestation.signature_check
    msg: Pass
  - metadata:
      code: builtin.attestation.syntax_check
    msg: Pass
  - metadata:
      code: builtin.image.signature_check
    msg: Pass
ec-version: v0.1.2427-499ef12
effective-time: "2024-01-21T19:57:51.338191Z"
key: ""
policy: {}
success: true
    Copy to Clipboard Toggle word wrap

    エンタープライズコントラクトは、セキュリティー違反の詳細を含む pass-fail レポートを生成します。--info フラグを追加すると、レポートには、検出された違反に対する詳細と考えられる解決策が含まれます。

関連情報

付録A Red Hat build of Keycloak のサービスと StatefulSet YAML 設定
リンクのコピー

Red Hat の Trusted Artifact Signer (RHTAS) サービス用に Red Hat’s build of Keycloak (RHBK) を設定するときに使用されるサービスおよび StatefulSet YAML リソース設定です。 

---
apiVersion: v1
kind: Service
metadata:
  name: postgresql-db
  namespace: keycloak-system
spec:
  internalTrafficPolicy: Cluster
  ipFamilies:
  - IPv4
  ipFamilyPolicy: SingleStack
  ports:
  - port: 5432
  selector:
    app: postgresql-db
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: postgresql-db
  namespace: keycloak-system
spec:
  persistentVolumeClaimRetentionPolicy:
    whenDeleted: Retain
    whenScaled: Retain
  podManagementPolicy: OrderedReady
  replicas: 1
  revisionHistoryLimit: 10
  selector:
    matchLabels:
      app: postgresql-db
  serviceName: postgresql-db
  template:
    metadata:
      labels:
        app: postgresql-db
    spec:
      containers:
      - env:
        - name: POSTGRESQL_USER
          valueFrom:
            secretKeyRef:
              key: username
              name: postgresql-db
        - name: POSTGRESQL_PASSWORD
          valueFrom:
            secretKeyRef:
              key: password
              name: postgresql-db
        - name: POSTGRESQL_DATABASE
          valueFrom:
            secretKeyRef:
              key: database
              name: postgresql-db
        image: registry.redhat.io/rhel9/postgresql-15:latest
        imagePullPolicy: IfNotPresent
        livenessProbe:
          exec:
            command:
            - /usr/libexec/check-container
            - --live
          failureThreshold: 3
          initialDelaySeconds: 120
          periodSeconds: 10
          successThreshold: 1
          timeoutSeconds: 10
        name: postgresql-db
        readinessProbe:
          exec:
            command:
            - /usr/libexec/check-container
          failureThreshold: 3
          initialDelaySeconds: 5
          periodSeconds: 10
          successThreshold: 1
          timeoutSeconds: 1
        securityContext:
          allowPrivilegeEscalation: false
          capabilities:
            drop:
            - ALL
        terminationMessagePath: /dev/termination-log
        terminationMessagePolicy: File
        volumeMounts:
        - mountPath: /var/lib/pgsql/data
          name: data
      dnsPolicy: ClusterFirst
      restartPolicy: Always
      schedulerName: default-scheduler
      securityContext:
        runAsNonRoot: true
        seccompProfile:
          type: RuntimeDefault
      terminationGracePeriodSeconds: 30
  updateStrategy:
    rollingUpdate:
      partition: 0
    type: RollingUpdate
  volumeClaimTemplates:
  - apiVersion: v1
    kind: PersistentVolumeClaim
    metadata:
      name: data
    spec:
      accessModes:
      - ReadWriteOnce
      resources:
        requests:
          storage: 1Gi
      volumeMode: Filesystem
Copy to Clipboard Toggle word wrap

RHBK の設定手順に戻ります

付録B Trusted Artifact Signer のコンポーネントとバージョン番号
リンクのコピー

次の表には、Red Hat の Trusted Artifact Signer (RHTAS) ソフトウェアコンポーネントと、1.2.1 リリースの対応するバージョン番号がリスト表示されています。

Expand
表B.1 Binaries
バイナリーバージョン

cosign

2.4.3

gitsign

0.12.0

rekor-cli

1.3.9

ec

0.6

createtree

1.7.1

updatetree

1.7.1

tuftool

0.12.0

tuffer

0.17.1

fetch-tsa-certs

1.2.4

Expand
表B.2 Trillian
コンポーネントバージョン

logserver

1.7.1

logsigner

1.7.1

database

1.7.1

redis

1.7.1

Expand
表B.3 Rekor
コンポーネントバージョン

rekor-server

1.3.9

backfill-redis

1.3.9

rekor-search-ui

1.3.9

Expand
表B.4 Fulcio
コンポーネントバージョン

fulcio-server

1.6.6

Expand
表B.5 Certificate Transparency
コンポーネントバージョン

certificate-transparency-go

1.3.1

Expand
表B.6 Timestamp Authority
コンポーネントバージョン

timestamp-authority

1.2.4

法律上の通知
リンクのコピー

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat