第5章 独自の認証局バンドルの使用
Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、ビルドアーティファクトの署名と検証に組織の認証局 (CA) バンドルを使用できます。
前提条件
- Red Hat OpenShift Container Platform 上で実行される RHTAS Operator をインストールする。
- Securesign インスタンスを実行する。
- CA ルート証明書。
-
ocバイナリーがインストールされているワークステーション。
手順
コマンドラインから OpenShift にログインします。
構文
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
例
$ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTAS プロジェクトに切り替えます。
例
$ oc project trusted-artifact-signer
組織の CA ルート証明書バンドルを使用して新しい ConfigMap を作成します。
例
$ oc create configmap custom-ca-bundle --from-file=ca-bundle.crt
重要証明書ファイル名は
ca-bundle.crtである必要があります。編集のために Securesign リソースを開きます。
例
$ oc edit Securesign securesign-sample
metadata.annotationsセクションの下にrhtas.redhat.com/trusted-caを追加します。例
apiVersion: rhtas.redhat.com/v1alpha1 kind: Securesign metadata: name: example-instance annotations: rhtas.redhat.com/trusted-ca: custom-ca-bundle spec: ...
- 保存してエディターを終了します。
Fulcio リソースを編集用に開きます。
例
$ oc edit Fulcio securesign-sample
metadata.annotationsセクションの下にrhtas.redhat.com/trusted-caを追加します。例
apiVersion: rhtas.redhat.com/v1alpha1 kind: Fulcio metadata: name: example-instance annotations: rhtas.redhat.com/trusted-ca: custom-ca-bundle spec: ...- 保存してエディターを終了します。
- アーティファクトに署名して検証する前に、RHTAS Operator が再設定するのを待ちます。
