红帽全球峰会1.3. 验证 Trusted Artifact Signer 安装
作为系统管理员,您可以验证在 Red Hat OpenShift Container Platform 上运行的 Red Hat Trusted Artifact Signer (RHTAS)的部署是否成功。
您可以签署测试容器镜像,并验证该签名的真实性,以验证您环境中的 RHTAS 部署。
可以通过两种方式从代码管道验证构建工件。您可以使用 cosign 和 gitsign 签署和验证,但只能使用企业合同进行验证。
1.3.1. 使用命令行界面使用 Cosign 签名和验证容器
通过 cosign 工具,您可以使用红帽的Trusted Artifact Signer (RHTAS)服务签名和验证开放容器项目(OCI)容器镜像以及其他构建工件。
对于 RHTAS,您必须使用 cosign 版本 2.2 或更高版本。
先决条件
- 在 Red Hat OpenShift Container Platform 4.15 或更高版本上安装 RHTAS。
- 访问 OpenShift Web 控制台。
-
安装了
oc、podman二进制文件的工作站。
流程
将
cosign二进制文件从 OpenShift 集群下载到您的工作站。- 登录到 OpenShift Web 控制台。在主页中,单击 ? 图标,单击 Command line tools,前往 cosign download 部分,然后单击您的平台的链接。
在工作站上打开一个终端,解压缩二进制
.gz文件,并设置执行位:Example
gunzip cosign-amd64.gz chmod +x cosign-amd64将二进制文件移到
$PATH环境中的位置:Example
sudo mv cosign-amd64 /usr/local/bin/cosign
登录到 OpenShift 集群:
语法
oc login --token=TOKEN --server=SERVER_URL_AND_PORTExample
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注意您可以从 OpenShift Web 控制台查找要在命令行中使用的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名,然后点 Copy login 命令。如果被要求,请再次提供您的用户名和密码,然后单击 Display Token 查看命令。
切换到 RHTAS 项目:
语法
oc project PROJECT_NAMEExample
oc project trusted-artifact-signer注意使用 RHTAS 安装的项目名称。
配置 shell 环境,以执行容器镜像签名和验证。
Example
export TUF_URL="https://tuf.${BASE_HOSTNAME}" export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL初始化更新框架(TUF)系统:
Example
cosign initialize为测试容器镜像签名。
创建一个空容器镜像:
Example
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h将空容器镜像推送到
ttl.sh临时 registry:Example
podman push ttl.sh/rhtas/test-image:1h为容器镜像签名:
语法
cosign sign -y IMAGE_NAME:TAGExample
cosign sign -y ttl.sh/rhtas/test-image:1h此时会打开一个 Web 浏览器,允许您使用电子邮件地址为容器镜像签名。
删除临时 Docker 文件:
Example
rm ./tmp.Dockerfile
使用证书身份和签发者验证签名的容器镜像:
语法
cosign verify --certificate-identity=SIGNING_EMAIL_ADDR IMAGE_NAME:TAGExample
cosign verify --certificate-identity=jdoe@redhat.com ttl.sh/rhtas/test-image:1h注意您还可以使用
cosign命令--certificate-identity-regexp和--certificate-oidc-issuer-regexp的以下选项对证书身份和签发者使用正则表达式。将 OpenShift 集群中的
rekor-cli二进制文件下载到您的工作站。- 登录到 OpenShift Web 控制台。在主页中,单击 ? 图标,单击 Command line tools,转至 rekor-cli 下载部分,然后单击您的平台的链接。
在工作站上打开一个终端,解压缩二进制
.gz文件,并设置执行位:Example
gunzip rekor-cli-amd64.gz chmod +x rekor-cli-amd64将二进制文件移到
$PATH环境中的位置:Example
sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
使用 Rekor 命令行界面查询透明日志。
根据日志索引进行搜索:
Example
rekor-cli get --log-index 0 --rekor_server $COSIGN_REKOR_URL --format json | jq搜索电子邮件地址以获取通用唯一标识符(UUID):
语法
rekor-cli search --email SIGNING_EMAIL_ADDR --rekor_server $COSIGN_REKOR_URL --format json | jqExample
rekor-cli search --email jdoe@redhat.com --rekor_server $COSIGN_REKOR_URL --format json | jq此命令返回用于下一步的 UUID。
使用 UUID 获取事务详情:
语法
rekor-cli get --uuid UUID --rekor_server $COSIGN_REKOR_URL --format json | jqExample
rekor-cli get --uuid 24296fb24b8ad77a71b9c1374e207537bafdd75b4f591dcee10f3f697f150d7cc5d0b725eea641e7 --rekor_server $COSIGN_REKOR_URL --format json | jq
1.3.2. 使用命令行界面使用 Gitsign 签名和验证提交
gitsign 工具可让您使用红帽的 Trusted Artifact Signer (RHTAS)服务签名和验证 Git 存储库提交。
先决条件
- 在 Red Hat OpenShift Container Platform 4.15 或更高版本上安装 RHTAS。
- 访问 OpenShift Web 控制台。
安装了
oc、git和cosign二进制文件的工作站。-
您必须使用
cosign版本 2.2 或更高版本。
-
您必须使用
流程
将
gitsign二进制文件从 OpenShift 集群下载到您的工作站。- 登录到 OpenShift Web 控制台。在主页中,单击 ? 图标,单击 Command line tools,前往 gitsign 下载部分,然后单击您的平台的链接。
在工作站上打开一个终端,解压缩 .gz 文件,并设置执行位:
Example
gunzip gitsign-amd64.gz chmod +x gitsign-amd64将二进制文件移到
$PATH环境中的位置:Example
sudo mv gitsign-amd64 /usr/local/bin/gitsign
登录到 OpenShift 集群:
语法
oc login --token=TOKEN --server=SERVER_URL_AND_PORTExample
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注意您可以从 OpenShift Web 控制台查找要在命令行中使用的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名,然后点 Copy login 命令。如果被要求,请再次提供您的用户名和密码,然后单击 Display Token 查看命令。
切换到 RHTAS 项目:
语法
oc project PROJECT_NAMEExample
oc project trusted-artifact-signer注意使用 RHTAS 安装的项目名称。
配置 shell 环境以进行提交签名和验证:
Example
export TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL使用 RHTAS 服务配置本地存储库配置以签署您的提交:
Example
git config --local commit.gpgsign true git config --local tag.gpgsign true git config --local gpg.x509.program gitsign git config --local gpg.format x509 git config --local gitsign.fulcio $SIGSTORE_FULCIO_URL git config --local gitsign.rekor $SIGSTORE_REKOR_URL git config --local gitsign.issuer $SIGSTORE_OIDC_ISSUER git config --local gitsign.clientID trusted-artifact-signer将提交提交到本地存储库:
Example
git commit --allow-empty -S -m “Test of a signed commit”此时会打开一个 Web 浏览器,允许您使用电子邮件地址为提交签名。
初始化更新框架(TUF)系统:
Example
cosign initialize验证提交:
语法
gitsign verify --certificate-identity=SIGNING_EMAIL --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEADExample
gitsign verify --certificate-identity=jdoe@redhat.com --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
1.3.3. 使用企业合同验证容器镜像上的签名
企业合同(EC)是维护软件供应链安全性的工具,您可以使用它来定义和执行容器镜像的策略。您可以使用 ec 二进制文件来验证使用红帽的 Trusted Artifact Signer (RHTAS)签名框架的容器镜像的待测试和签名。
先决条件
- 在 Red Hat OpenShift Container Platform 4.15 或更高版本上安装 RHTAS。
- 访问 OpenShift Web 控制台。
安装了
oc、cosign和podman二进制文件的工作站。-
您必须使用
cosign版本 2.2 或更高版本。
-
您必须使用
流程
从 OpenShift 集群下载
ec二进制文件。- 登录 OpenShift Web 控制台。在主页中,单击 ? 图标,单击 Command line tools,前往 ec download 部分,然后单击您的平台的链接。
在工作站上打开一个终端,解压缩二进制 .gz 文件,并设置执行位:
Example
gunzip ec-amd64.gz chmod +x ec-amd64将二进制文件移到
$PATH环境中的位置:Example
sudo mv ec-amd64 /usr/local/bin/ec
登录到 OpenShift 集群:
语法
oc login --token=TOKEN --server=SERVER_URL_AND_PORT示例
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注意您可以从 OpenShift Web 控制台查找要在命令行中使用的登录令牌和 URL。登录 OpenShift Web 控制台。点您的用户名,然后点 Copy login 命令。如果被要求,请再次提供您的用户名和密码,然后单击 Display Token 查看命令。
切换到 RHTAS 项目:
语法
oc project PROJECT_NAMEExample
oc project trusted-artifact-signer注意使用 RHTAS 安装的项目名称。
配置 shell 环境,以执行容器镜像签名和验证。
Example
export TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URL初始化更新框架(TUF)系统:
Example
cosign initialize为测试容器镜像签名。
创建一个空容器镜像:
Example
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h将空容器镜像推送到
ttl.sh临时 registry:Example
podman push ttl.sh/rhtas/test-image:1h为容器镜像签名:
语法
cosign sign -y IMAGE_NAME:TAGExample
cosign sign -y ttl.sh/rhtas/test-image:1h此时会打开一个 Web 浏览器,允许您使用电子邮件地址为容器镜像签名。
删除临时 Docker 文件:
Example
rm ./tmp.Dockerfile
创建
predicate.json文件:Example
{ "builder": { "id": "https://localhost/dummy-id" }, "buildType": "https://example.com/tekton-pipeline", "invocation": {}, "buildConfig": {}, "metadata": { "completeness": { "parameters": false, "environment": false, "materials": false }, "reproducible": false }, "materials": [] }如需有关 schema 布局的更多信息,请参阅 SLSA provenance predicate 规格。
将
predicate.json文件与容器镜像关联:语法
cosign attest -y --predicate ./predicate.json --type slsaprovenance IMAGE_NAME:TAGExample
cosign attest -y --predicate ./predicate.json --type slsaprovenance ttl.sh/rhtas/test-image:1h验证容器镜像是否至少有一个测试和签名:
语法
cosign tree IMAGE_NAME:TAGExample
cosign tree ttl.sh/rhtas/test-image:1h 📦 Supply Chain Security Related artifacts for an image: ttl.sh/rhtas/test-image@sha256:7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35 └── 💾 Attestations for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.att └── 🍒 sha256:40d94d96a6d3ab3d94b429881e1b470ae9a3cac55a3ec874051bdecd9da06c2e └── 🔐 Signatures for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.sig └── 🍒 sha256:f32171250715d4538aec33adc40fac2343f5092631d4fc2457e2116a489387b7使用企业联系人验证容器镜像:
语法
ec validate image --image IMAGE_NAME:TAG --certificate-identity-regexp 'SIGNER_EMAIL_ADDR' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successesExample
ec validate image --image ttl.sh/rhtas/test-image:1h --certificate-identity-regexp 'jdoe@example.com' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes success: true successes: - metadata: code: builtin.attestation.signature_check msg: Pass - metadata: code: builtin.attestation.syntax_check msg: Pass - metadata: code: builtin.image.signature_check msg: Pass ec-version: v0.1.2427-499ef12 effective-time: "2024-01-21T19:57:51.338191Z" key: "" policy: {} success: true企业合同生成 pass-fail 报告,其中包含有关任何安全违反情况的详细信息。添加
--info标志时,报告包括所有找到违反情况的详情和可能的解决方案。
其它资源
- 如需更多信息,请参阅 Conforma 网站。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}