Durch Code signierte Images überprüfen

Sie können überprüfen, ob die Images von IBMerstellt und hochgeladen wurden. Sie können auch die Datei Mono2Micro-CLI.zip überprüfen, die das Befehlszeilentool Mono2Micro bereitstellt.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Befehlszeilentools auf Ihrem Computer installiert sind. Unter Linuxkönnen Sie die Images normalerweise mit dem Paketmanager installieren.

Kopieren Sie auf dem Computer, auf dem die Befehlszeilentools installiert sind, den folgenden Textblock genau wie dargestellt in einen Texteditor und speichern Sie ihn in einer Datei namens mono2micro-public.gpg. Dieser Textblock stellt den von IBM Mono2Micro zertifizierten öffentlichen Containerschlüssel im GNU Privacy Guard-Format dar.

-----BEGIN PGP PUBLIC KEY BLOCK-----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=LOiH
-----END PGP PUBLIC KEY BLOCK-----

Image mit Signatur überprüfen

Sie können das Image mit einer Signatur für Testinstallationen oder für berechtigte Registry-Installationen (Entitled Registry, ER) überprüfen.

  1. Importieren Sie den öffentlichen Schlüssel des IBM Mono2Micro -Containers.
    gpg --import mono2micro-public.gpg

  2. Bereiten Sie den Fingerabdruck vor.

    fingerprint=$(sudo gpg --fingerprint --with-colons International Business Machines Corporation | grep fpr | tr -d 'fpr:')

    Dieser Befehl speichert den Fingerabdruck des Schlüssels in der Umgebungsvariablen fingerprint , die für den Befehl zum Überprüfen der Signatur erforderlich ist. Wenn Sie Ihre Shellsitzung beenden, wird die Variable gelöscht. Bei der nächsten Anmeldung an Ihrem Computer können Sie den Befehl erneut ausführen, um die Umgebungsvariable erneut festzulegen.

  3. Überprüfen Sie die Signaturen der extrahierten Images.

    Führen Sie basierend auf den mit dem Befehlszeilentool Mono2Micro installierten Images den Befehl docker images oder podman images aus, um die Tags der verwendeten Images abzurufen.

  4. Kopieren Sie jedes Repository in ein lokales Verzeichnis. Zum Beispiel:

    skopeo copy docker://<repository_tag> dir:/<image_directory>

    Ersetzen Sie bei einer ER-Installation <repository_tag> durch einen der folgenden Werte.

    • icr.io/cp/mono2micro/mono2micro-cardinal:<version>
    • icr.io/cp/mono2micro/mono2micro-ui:<version>
    • icr.io/cp/mono2micro/mono2micro-aipl:<version>
    • icr.io/cp/mono2micro/mono2micro-bluejay:<version>

    Ersetzen Sie bei einer Testinstallation <repository_tag> durch einen der folgenden Werte.

    • icr.io/appcafe/mono2micro-cardinal:<version>
    • icr.io/appcafe/mono2micro-ui:<version>
    • icr.io/appcafe/mono2micro-aipl:<version>
    • icr.io/appcafe/mono2micro-bluejay:<version>

    Ersetzen Sie bei ER-und Testinstallationen <image_directory> durch die Position des kopierten Images.

  5. Überprüfen Sie das Image unter Verwendung der heruntergeladenen Signatur und des Repositorys.

    Führen Sie für eine ER-oder Testinstallation den folgenden standalone-verify -Befehl aus, um ein Image zu überprüfen.

    skopeo standalone-verify <image_directory>/manifest.json \
<repository_tag> ${fingerprint} <image_directory>/signature-2

ZIP-Datei Mono2Micro-CLImit jarsigner überprüfen

Wenn Sie Mono2Micro installieren, laden Sie die Datei Mono2Micro-CLI.zip von http://ibm.biz/Mono2Micro-downloads herunter und installieren das Mono2Micro befehlszeilenprogramm. Die heruntergeladene Datei Mono2Micro-CLI.zip ist signiert und kann mit dem Tool jarsigner, das mit Java® ausgeliefert wird, überprüft werden.

  1. Überprüfen Sie die Datei Mono2Micro-CLI.zip mit jarsigner.

    Öffnen Sie eine Befehlszeile an der Position der ZIP-Datei und führen Sie den folgenden Befehl aus.

    jarsigner -verify Mono2Micro-CLI.zip -certs -verbose

  2. Vergewissern Sie sich, dass die Ausgabe des Unterzeichners der folgenden Ausgabe ähnelt, die die Gültigkeit der Datei überprüft.

    Unterzeichner
X.509, CN= International Business Machines Corporation, OU= IBM CCSS, O= International Business Machines Corporation, L=Armonk, ST=New York, C=US