Validation de la signature de l'image « Verify Bridge » sur Docker

L'image icr.io/isv-saas/verify-bridge:latest disponible à l'adresse IBM®Container Registry est signée; une fois cette image téléchargée sur votre ordinateur, vous pouvez valider cette signature à l'aide de Skopeo ou Podman.

Avant de commencer

Vous avez besoin de la clé publique.
-----BEGIN PGP PUBLIC KEY BLOCK-----
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=hwfo

-----END PGP PUBLIC KEY BLOCK-----

A propos de cette tâche

Le moteur d'exécution de conteneurs utilisé par Red Hat® OpenShift®, Skopeo et Podman est un policy.json fichier qui décrit la politique de validation des signatures. Une fois la politique créée et appliquée aux outils de gestion de conteneurs ( Red Hat OpenShift, Skopeo ou Podman ), celle-ci garantit l'intégrité de l'image en validant sa signature. Il peut également valider d'autres parties de la charge utile de signature simple.

Procédure

  1. Connectez-vous au système cible.
  2. Créez ou modifiez un /etc/containers/policy.json fichier tel que ~/policy.json.
    Consultez la documentation d' Red Hat OpenShift s concernant la politique relative aux images : podman-image-trust. Si vous disposez de plusieurs clés publiques provenant d'une ancienne et d'une nouvelle plateforme, ou à la suite du renouvellement d'un certificat, vous pouvez concaténer ces deux gpg clés publiques et utiliser ce fichier à l'adresse <public key>.
    Par exemple :
    {
        "default": [
            {
                "type":"reject"
            }
        ],
        "transports":
            {
                "docker":
                    {
                        "": [{ "type": "signedBy", "keyType": "GPGKeys", "keyPath": "<path to public keyfile>"}]
                    }
            }
    }
  3. Spécifiez la méthode de validation de la signature de l'image « Verify Bridge on Docker » à l'aide de l'une des commandes suivantes.
    • Pour valider la signature en la Skopeo copiant dans un répertoire temporaire local, utilisez la commande suivante.
      skopeo copy --policy ~/policy.json docker://icr.io/isv-saas/verify-bridge:latest dir:./temp
    • Pour valider la signature en la Skopeo copiant dans un répertoire temporaire local à l'aide de --policy l'option, utilisez la commande suivante.
      skopeo copy --policy ~/policy.json docker://icr.io/isv-saas/verify-bridge:latest dir:./temp
    • Pour valider la signature lors d'un téléchargement à l'aide de Podman, utilisez la commande suivante.
      podman pull --signature-policy ~/policy.json icr.io/isv-saas/verify-bridge:latest