第 4 章 签名容器镜像

流程

1. 登录到您的 OpenShift 集群：

   语法

   oc login --token=TOKEN --server=SERVER_URL_AND_PORT

   Example

   oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443

   注意

   要查找您的命令行登录令牌和 URL，请登录 OpenShift Web 控制台。单击您的用户名，然后单击 Copy login command。如有提示，再次输入您的用户名和密码，然后单击 显示令牌。

2. 登录 RHTAS。确保配置 RHTAS shell 环境以签署和验证容器镜像；例如：

   cd sigstore-ocp
   source tas-env-variables.sh

   Copy to Clipboard Toggle word wrap

   您还可以选择手动设置环境变量，例如：

   export OPENSHIFT_APPS_SUBDOMAIN=apps.$(oc get dns cluster -o jsonpath='{ .spec.baseDomain }')
   export OIDC_AUTHENTICATION_REALM=sigstore
   export FULCIO_URL=https://fulcio.$OPENSHIFT_APPS_SUBDOMAIN
   export OIDC_ISSUER_URL=https://keycloak-keycloak-system.$OPENSHIFT_APPS_SUBDOMAIN/auth/realms/$OIDC_AUTHENTICATION_REALM
   export REKOR_URL=https://rekor.$OPENSHIFT_APPS_SUBDOMAIN
   export TUF_URL=https://tuf.$OPENSHIFT_APPS_SUBDOMAIN

   Copy to Clipboard Toggle word wrap

   Example

   $ source ./tas-env-vars.sh

   Copy to Clipboard Toggle word wrap

3. 运行以下命令，从 OpenShift 集群注销： oc logout。
4. 识别您要签名的容器镜像和 attest；例如： IMAGE=quay.io/lucarval/rhtas-test@sha256:6b95efc134c2af3d45472c0a2f88e6085433df058cc210abb2bb061ac4d74359。
5. 向 RHTAP 指明您要使用 Red Hat Trusted Artifact Signer 而不是公共 Sigstore 部署进行签名和测试您的容器镜像。输入此命令：co sign initialize --mirror=$TUF_URL --root=$TUF_URL/root.json。

6. 使用以下命令为您的容器镜像签名：

   cosign sign -y --fulcio-url=$FULCIO_URL --rekor-url=$REKOR_URL \
        --oidc-issuer=$OIDC_ISSUER_URL $IMAGE

   Copy to Clipboard Toggle word wrap
7. 出现提示时，登录安装 RHTAS 时安装的 RHTAP 的 Keycloak 实例。因此 Keycloak 可以为您进行身份验证。

1. 在测试时创建 SLSA 验证，并将它与容器镜像相关联。
2. 使用 Red Hat Enterprise Contract 来验证容器镜像。