검색
지원콘솔개발자평가판 시작연락처

1.3. Tekton 체인에서 데이터에 서명하기 위한 보안

download PDF

클러스터 관리자는 키 쌍을 생성하고 Tekton Chains를 사용하여 Kubernetes 시크릿을 사용하여 아티팩트에 서명할 수 있습니다. Tekton 체인이 작동하려면 암호화된 키의 개인 키와 암호가 openshift-pipelines 네임스페이스에 signing-secrets 시크릿의 일부로 존재해야 합니다.

현재 Tekton 체인은 x509cosign 서명 스키마를 지원합니다.

참고

지원되는 서명 체계 중 하나만 사용하십시오.

Tekton 체인과 x509 서명 스키마를 사용하려면 ed25519 또는 ecdsa 유형의 x509.pem 개인 키를 signing-secrets Kubernetes 시크릿에 저장합니다.

1.3.1. cosign을 사용하여 서명

cosign 툴을 사용하여 Tekton 체인에 공동 서명 스키마를 사용할 수 있습니다.

사전 요구 사항

  • cosign 툴을 설치했습니다.

프로세스

  1. 다음 명령을 실행하여 cosign.keycosign.pub 키 쌍을 생성합니다. 

    $ cosign generate-key-pair k8s://openshift-pipelines/signing-secrets

    cosign은 암호를 입력하라는 메시지를 표시한 다음 Kubernetes 시크릿을 생성합니다.

  2. 암호화된 cosign.key 개인 키와 cosign.password 암호 해독 암호를 signing-secrets Kubernetes 시크릿에 저장합니다. 개인 키가 ENCRYPTED COSIGN PRIVATE KEY 유형의 암호화된 PEM 파일로 저장되었는지 확인합니다.

1.3.2. skopeo를 사용하여 서명

skopeo 툴을 사용하여 키를 생성하고 Tekton 체인과 함께 cosign 서명 스키마에 사용할 수 있습니다.

사전 요구 사항

  • skopeo 툴을 설치했습니다.

프로세스

  1. 다음 명령을 실행하여 공개/개인 키 쌍을 생성합니다. 

    $ skopeo generate-sigstore-key --output-prefix <mykey> 1
    1
    & lt;mykey >를 선택한 키 이름으로 바꿉니다.

    Skopeo는 개인 키에 대한 암호를 입력하라는 메시지를 표시한 다음 <mykey> .private 및 <mykey > .pub 라는 키 파일을 만듭니다.

  2. 다음 명령을 실행하여 base64 툴을 사용하여 < mykey>.pub 파일을 인코딩합니다. 

    $ base64 -w 0 <mykey>.pub > b64.pub

  3. 다음 명령을 실행하여 base64 툴을 사용하여 < mykey>.private 파일을 인코딩합니다. 

    $ base64 -w 0 <mykey>.private > b64.private

  4. 다음 명령을 실행하여 base64 툴을 사용하여 passhprase를 인코딩합니다. 

    $ echo -n '<passphrase>' | base64 -w 0 > b64.passphrase 1
    1
    & lt;passphrase& gt;를 키 쌍에 사용한 암호로 바꿉니다.

  5. 다음 명령을 실행하여 openshift-pipelines 네임스페이스에 signing-secrets 시크릿을 생성합니다. 

    $ oc create secret generic signing-secrets -n openshift-pipelines

  6. 다음 명령을 실행하여 signing-secrets 시크릿을 편집합니다. 

    $ oc edit secret -n openshift-pipelines signing-secrets

    다음과 같은 방식으로 시크릿 데이터에 인코딩된 키를 추가합니다. 

    apiVersion: v1
data:
  cosign.key: <Encoded <mykey>.private> 1
  cosign.password: <Encoded passphrase> 2
  cosign.pub: <Encoded <mykey>.pub> 3
immutable: true
kind: Secret
metadata:
  name: signing-secrets
# ...
type: Opaque
    1
    & lt;Encoded <mykey>.private >을 b64.private 파일의 내용으로 바꿉니다.
    2
    & lt;Encoded passphrase& gt;를 b64.passphrase 파일의 콘텐츠로 바꿉니다.
    3
    & lt;Encoded <mykey>.pub >를 b64.pub 파일의 내용으로 바꿉니다.

1.3.3. "비밀번호가 이미 있음" 오류 해결

signing-secret 시크릿이 이미 채워진 경우 이 보안을 생성하는 명령에서 다음 오류 메시지를 출력할 수 있습니다. 

Error from server (AlreadyExists): secrets "signing-secrets" already exists

보안을 삭제하여 이 오류를 해결할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 signing-secret 시크릿을 삭제합니다. 

    $ oc delete secret signing-secrets -n openshift-pipelines
  2. 키 쌍을 다시 생성하여 선호하는 서명 스키마를 사용하여 시크릿에 저장합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.