红帽全球峰会1.3. 在 Tekton Chains 中签名数据的 secret
集群管理员可以生成密钥对,并使用 Tekton 链来使用 Kubernetes secret 为工件签名。要使 Tekton 链正常工作,加密的密钥和密码必须存在,作为 openshift-pipelines 命名空间中的 signing-secrets secret 的一部分。
目前,Tekton 链支持 x509 和 cosign 签名方案。
只使用一个受支持的签名方案。
x509 签名方案
要将 x509 签名方案与 Tekton 链搭配使用,您必须满足以下要求:
-
使用
x509.pem结构将私钥存储在signing-secrets中。 -
将私钥存储为未加密的
PKCS #8PEM 文件。 -
密钥是
ed25519或ecdsa类型。
cosign 签名方案
要将 cosign 签名方案与 Tekton 链搭配使用,您必须满足以下要求:
-
使用
cosign.key结构将私钥存储在signing-secrets中。 -
使用
cosign.password结构将密码存储在signing-secrets中。 -
将私钥存储为
ENCRYPTED COSIGN PRIVATE KEY类型的加密 PEM 文件。
1.3.1. 使用 TektonConfig CR 生成 x509 密钥对
要将 x509 签名方案用于 Tekton Chains secret,您必须生成 x509 密钥对。
您可以通过将 TektonConfig 自定义资源(CR)中的 generateSigningSecret 字段设置为 true 来生成 x509 密钥对。Red Hat OpenShift Pipelines Operator 生成 ecdsa 类型密钥对: x509.pem 私钥和 x509-pub.pem 公钥。Operator 将密钥存储在 openshift-pipelines 命名空间中的 signing-secrets secret 中。
如果将 generateSigningSecret 字段设置为 false,Red Hat OpenShift Pipelines Operator 会覆盖并破坏 signing-secrets secret 中的任何值。确保您在 secret 之外存储 x509-pub.pem 公钥,以防止密钥被删除。Operator 可以使用后续阶段的密钥验证工件。
Red Hat OpenShift Pipelines Operator 不提供以下功能来限制潜在的安全问题:
- 密钥轮转
- 审计密钥使用
- 正确的访问控制键
先决条件
-
已安装 OpenShift CLI (
oc)实用程序。 -
您可以使用
openshift-pipelines命名空间的管理权限登录到 OpenShift Container Platform 集群。
流程
运行以下命令来编辑
TektonConfigCR:oc edit TektonConfig config
$ oc edit TektonConfig configCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在
TektonConfigCR 中,将generateSigningSecret值设置为true:使用 TektonConfig CR 创建 ecdsa 密钥对示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 默认值为
false。将值设为true会生成ecdsa密钥对。
1.3.2. 使用 cosign 工具签名
您可以使用 cosign 工具使用带有 Tekton 链的 cosign 签名方案。
先决条件
- 已安装 Cosign 工具。有关安装 Cosign 工具的详情,请参考有关 Cosign 的 Sigstore 文档。
流程
运行以下命令,生成
cosign.key和cosign.pub密钥对:cosign generate-key-pair k8s://openshift-pipelines/signing-secrets
$ cosign generate-key-pair k8s://openshift-pipelines/signing-secretsCopy to Clipboard Copied! Toggle word wrap Toggle overflow Cosign 会提示您输入密码,然后创建一个 Kubernetes secret。
-
将加密的
cosign.key私钥和cosign.password解密密码存储在signing-secretsKubernetes secret 中。确保私钥存储为ENCRYPTED COSIGN PRIVATE KEY类型的加密 PEM 文件。
1.3.3. 使用 skopeo 工具签名
您可以使用 skopeo 工具生成密钥,并在带有 Tekton 链的 cosign 签名方案中使用它们。
先决条件
- 已安装 skopeo 工具。
流程
运行以下命令生成公钥/私钥对:
skopeo generate-sigstore-key --output-prefix <mykey>
$ skopeo generate-sigstore-key --output-prefix <mykey>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 将
<mykey>替换为您选择的密钥名称。
Skopeo 会提示您输入私钥的密码短语,然后创建名为
<mykey>.private和<mykey>.pub的密钥文件。运行以下命令,使用
base64工具对<mykey>.pub文件进行编码:base64 -w 0 <mykey>.pub > b64.pub
$ base64 -w 0 <mykey>.pub > b64.pubCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令,使用
base64工具对<mykey>.private文件进行编码:base64 -w 0 <mykey>.private > b64.private
$ base64 -w 0 <mykey>.private > b64.privateCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令,使用
base64工具对 passhprase 进行编码:echo -n '<passphrase>' | base64 -w 0 > b64.passphrase
$ echo -n '<passphrase>' | base64 -w 0 > b64.passphrase1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 将
<passphrase>替换为用于密钥对的密码短语。
运行以下命令,在
openshift-pipelines命名空间中创建signing-secretssecret:oc create secret generic signing-secrets -n openshift-pipelines
$ oc create secret generic signing-secrets -n openshift-pipelinesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行以下命令来编辑
signing-secretssecret:oc edit secret -n openshift-pipelines signing-secrets
$ oc edit secret -n openshift-pipelines signing-secretsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 使用以下方法在 secret 的数据中添加编码的密钥:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.3.4. 解决 "secret already exists" 错误
如果 signing-secret secret 已经填充,则创建此 secret 的命令可能会输出以下出错信息:
Error from server (AlreadyExists): secrets "signing-secrets" already exists
Error from server (AlreadyExists): secrets "signing-secrets" already exists您可以通过删除 secret 来解决这个问题。
流程
运行以下命令来删除
signing-secretsecret:oc delete secret signing-secrets -n openshift-pipelines
$ oc delete secret signing-secrets -n openshift-pipelinesCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 重新创建密钥对,并使用您首选的签名方案将其存储在机密中。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}