1.2. The Update Framework

手順

1. OpenShift クラスターからワークステーションに tuftool バイナリーをダウンロードします。

   重要

   現在、tuftool バイナリーは、x86_64 アーキテクチャー上の Linux オペレーティングシステムでのみ使用できます。

   1. ホームページから ? アイコンをクリックして、Command line tools をクリックし、tuftool ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。

   2. ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。

      例

      gunzip tuftool-amd64.gz
      chmod +x tuftool-amd64

      Copy to Clipboard Toggle word wrap

   3. バイナリーを $PATH 環境内の場所に移動し、名前を変更します。

      例

      sudo mv tuftool-amd64 /usr/local/bin/tuftool

      Copy to Clipboard Toggle word wrap

2. コマンドラインから OpenShift にログインします。

   構文

   oc login --token=TOKEN --server=SERVER_URL_AND_PORT

   Copy to Clipboard Toggle word wrap

   例

   oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443

   Copy to Clipboard Toggle word wrap

   注記

   OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。

3. RHTAS プロジェクトに切り替えます。

   例

   oc project trusted-artifact-signer

   Copy to Clipboard Toggle word wrap

4. シェル環境を設定します。

   例

   export WORK="${HOME}/trustroot-example"
   export ROOT="${WORK}/root/root.json"
   export KEYDIR="${WORK}/keys"
   export INPUT="${WORK}/input"
   export TUF_REPO="${WORK}/tuf-repo"
   export TUF_SERVER_POD="$(oc get pod --selector=app.kubernetes.io/component=tuf --no-headers -o custom-columns=":metadata.name")"
   export TIMESTAMP_EXPIRATION="in 10 days"
   export SNAPSHOT_EXPIRATION="in 26 weeks"
   export TARGETS_EXPIRATION="in 26 weeks"
   export ROOT_EXPIRATION="in 26 weeks"

   Copy to Clipboard Toggle word wrap

   要件に応じて有効期限を設定します。

5. 一時的な TUF ディレクトリー構造を作成します。

   例

   mkdir -p "${WORK}/root/" "${KEYDIR}" "${INPUT}" "${TUF_REPO}"

   Copy to Clipboard Toggle word wrap

6. TUF コンテンツを一時的な TUF ディレクトリー構造にダウンロードします。

   例

   oc extract --to "${KEYDIR}/" secret/tuf-root-keys
   oc cp "${TUF_SERVER_POD}:/var/www/html" "${TUF_REPO}"
   cp "${TUF_REPO}/root.json" "${ROOT}"

   Copy to Clipboard Toggle word wrap

7. タイムスタンプ、スナップショット、ターゲットのメタデータをすべて 1 つのコマンドで更新できます。

   例

   tuftool update \
     --root "${ROOT}" \
     --key "${KEYDIR}/timestamp.pem" \
     --key "${KEYDIR}/snapshot.pem" \
     --key "${KEYDIR}/targets.pem" \
     --timestamp-expires "${TIMESTAMP_EXPIRATION}" \
     --snapshot-expires "${SNAPSHOT_EXPIRATION}" \
     --targets-expires "${TARGETS_EXPIRATION}" \
     --outdir "${TUF_REPO}" \
     --metadata-url "file://${TUF_REPO}"

   Copy to Clipboard Toggle word wrap

   注記

   TUF メタデータファイルのサブセットに対して TUF メタデータ更新を実行することもできます。たとえば、timestamp.json メタデータファイルは、他のメタデータファイルよりも頻繁に期限切れになります。したがって、次のコマンドを実行するだけで、タイムスタンプメタデータファイルを更新できます。

   tuftool update \
     --root "${ROOT}" \
     --key "${KEYDIR}/timestamp.pem" \
     --timestamp-expires "${TIMESTAMP_EXPIRATION}" \
     --outdir "${TUF_REPO}" \
     --metadata-url "file://${TUF_REPO}"

   Copy to Clipboard Toggle word wrap

8. ルートの有効期限が切れそうな場合にのみ、有効期限を更新します。

   例

   tuftool root expire "${ROOT}" "${ROOT_EXPIRATION}"

   Copy to Clipboard Toggle word wrap

   注記

   ルートファイルの有効期限がまだ先の場合は、この手順をスキップできます。

9. ルートバージョンを更新します。

   例

   tuftool root bump-version "${ROOT}"

   Copy to Clipboard Toggle word wrap

10. ルートメタデータファイルに再度署名します。

    例

    tuftool root sign "${ROOT}" -k "${KEYDIR}/root.pem"

    Copy to Clipboard Toggle word wrap

11. 新しいルートバージョンを設定し、ルートメタデータファイルを所定の場所にコピーします。

    例

    export NEW_ROOT_VERSION=$(cat "${ROOT}" | jq -r ".signed.version")
    cp "${ROOT}" "${TUF_REPO}/root.json"
    cp "${ROOT}" "${TUF_REPO}/${NEW_ROOT_VERSION}.root.json"

    Copy to Clipboard Toggle word wrap

12. これらの変更を TUF サーバーにアップロードします。

    例

    oc rsync "${TUF_REPO}/" "${TUF_SERVER_POD}:/var/www/html"

    Copy to Clipboard Toggle word wrap