红帽全球峰会第 2 章 验证 Trusted Artifact Signer 服务安装
2.1. 使用命令行界面使用 Cosign 签名和验证容器
通过 cosign 工具,您可以使用红帽的Trusted Artifact Signer (RHTAS)服务签名和验证开放容器项目(OCI)容器镜像以及其他构建工件。
对于 RHTAS,您必须使用 cosign 版本 2.2 或更高版本。
先决条件
- Red Hat OpenShift Container Platform 版本 4.13 或更高版本上的 RHTAS 安装。
- 访问 OpenShift Web 控制台。
-
安装了
podman和oc二进制文件的工作站。
流程
将
cosign二进制文件从 OpenShift 集群下载到您的工作站。- 登录到 OpenShift Web 控制台。在主页中,单击 ? 图标,单击 Command line tools,前往 cosign download 部分,然后单击您的平台的链接。
在工作站上打开一个终端,解压缩二进制
.gz文件,并设置执行位:Example
$ gunzip cosign-amd64.gz $ chmod +x cosign-amd64
将二进制文件移到
$PATH环境中的位置:Example
$ sudo mv cosign-amd64 /usr/local/bin/cosign
登录到 OpenShift 集群:
语法
oc login --token=TOKEN --server=SERVER_URL_AND_PORT
Example
$ oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
注意您可以从 OpenShift Web 控制台查找要在命令行中使用的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名,然后点 Copy login 命令。如果被要求,请再次提供您的用户名和密码,然后单击 Display Token 查看命令。
切换到 RHTAS 项目:
语法
oc project PROJECT_NAMEExample
$ oc project trusted-artifact-signer
注意使用 RHTAS 安装的项目名称。
配置 shell 环境,以执行容器镜像签名和验证。
Example
$ export TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) $ export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer $ export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) $ export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) $ export COSIGN_MIRROR=$TUF_URL $ export COSIGN_ROOT=$TUF_URL/root.json $ export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" $ export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL $ export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL $ export COSIGN_YES="true" $ export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL $ export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER $ export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL $ export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL初始化更新框架(TUF)系统:
Example
$ cosign initialize
为测试容器镜像签名。
创建一个空容器镜像:
Example
$ echo "FROM scratch" > ./tmp.Dockerfile $ podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
将空容器镜像推送到
ttl.sh临时 registry:Example
$ podman push ttl.sh/rhtas/test-image:1h
为容器镜像签名:
语法
cosign sign -y IMAGE_NAME:TAGExample
$ cosign sign -y ttl.sh/rhtas/test-image:1h
此时会打开一个 Web 浏览器,允许您使用电子邮件地址为容器镜像签名。
删除临时 Docker 文件:
Example
$ rm ./tmp.Dockerfile
使用证书身份和签发者验证签名的容器镜像:
语法
cosign verify --certificate-identity=SIGNING_EMAIL_ADDR IMAGE_NAME:TAG
Example
$ cosign verify --certificate-identity=jdoe@redhat.com ttl.sh/rhtas/test-image:1h
注意您还可以使用
cosign命令--certificate-identity-regexp和--certificate-oidc-issuer-regexp的以下选项对证书身份和签发者使用正则表达式。将 OpenShift 集群中的
rekor-cli二进制文件下载到您的工作站。- 登录到 OpenShift Web 控制台。在主页中,单击 ? 图标,单击 Command line tools,转至 rekor-cli 下载部分,然后单击您的平台的链接。
在工作站上打开一个终端,解压缩二进制
.gz文件,并设置执行位:Example
$ gunzip rekor-cli-amd64.gz $ chmod +x rekor-cli-amd64
将二进制文件移到
$PATH环境中的位置:Example
$ sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
使用 Rekor 命令行界面查询透明日志。
根据日志索引进行搜索:
Example
$ rekor-cli get --log-index 0 --rekor_server $COSIGN_REKOR_URL --format json | jq
搜索电子邮件地址以获取通用唯一标识符(UUID):
语法
rekor-cli search --email SIGNING_EMAIL_ADDR --rekor_server $COSIGN_REKOR_URL --format json | jqExample
$ rekor-cli search --email jdoe@redhat.com --rekor_server $COSIGN_REKOR_URL --format json | jq
此命令返回用于下一步的 UUID。
使用 UUID 获取事务详情:
语法
rekor-cli get --uuid UUID --rekor_server $COSIGN_REKOR_URL --format json | jqExample
$ rekor-cli get --uuid 24296fb24b8ad77a71b9c1374e207537bafdd75b4f591dcee10f3f697f150d7cc5d0b725eea641e7 --rekor_server $COSIGN_REKOR_URL --format json | jq
其他资源
- 在 OpenShift 上安装 Red Hat Trusted Artifact Signer。
- 自定义红帽受信任的应用程序管道.
- 如需了解有关 签名和验证 Git 提交的详细信息,请参阅 RHTAS 部署指南中的使用 Gitsign 的 签名和验证提交。
- 更新框架 主页.
