Verifica delle immagini con codice firmato

È possibile verificare che le immagini siano state create e caricate da IBM. È inoltre possibile verificare il file Mono2Micro-CLI.zip , che fornisce lo strumento della riga comandi Mono2Micro .

Prerequisiti

Verificare che i seguenti strumenti della riga comandi siano installati sul computer. In Linux, generalmente è possibile installare le immagini con il gestore pacchetti.

Sul computer in cui sono installati gli strumenti della riga comandi, copiare il seguente blocco di testo esattamente come mostrato in un editor di testo e salvarlo in un file denominato mono2micro-public.gpg. Questo blocco di testo rappresenta la chiave pubblica del container certificato IBM Mono2Micro nel formato GNU Privacy Guard.

-----BEGIN PGP PUBLIC KEY BLOCK-----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=LOiH
-----END PGP PUBLIC KEY BLOCK-----

Verifica dell'immagine con firma

È possibile verificare l'immagine con una firma per le installazioni di prova o Entitled Registry (ER).

  1. Importa la chiave pubblica del contenitore certificato IBM Mono2Micro .
    gpg --import mono2micro-public.gpg

  2. Preparare l'impronta digitale.

    fingerprint=$(sudo gpg --fingerprint --with-colons International Business Machines Corporation | grep fpr | tr -d 'fpr:')

    Questo comando memorizza l'impronta digitale della chiave nella variabile di ambiente fingerprint , che è necessaria per il comando per verificare la firma. Quando si esce dalla sessione shell, la variabile viene eliminata. La volta successiva che si accede al computer, è possibile eseguire nuovamente il comando per impostare nuovamente la variabile di ambiente.

  3. Controlla le firme delle immagini estratte.

    In base alle immagini che sono state installate con lo strumento della riga comandi Mono2Micro , eseguire il comando docker images o podman images per ottenere le tag delle immagini utilizzate.

  4. Copiare in una directory locale per ciascun repository. Ad esempio:

    skopeo copy docker://<repository_tag> dir:/<image_directory>

    Per un'installazione ER, sostituisci <repository_tag> con uno dei seguenti valori.

    • icr.io/cp/mono2micro/mono2micro-cardinal:<version>
    • icr.io/cp/mono2micro/mono2micro-ui:<version>
    • icr.io/cp/mono2micro/mono2micro-aipl:<version>
    • icr.io/cp/mono2micro/mono2micro-bluejay:<version>

    Per un'installazione di prova, sostituire <repository_tag> con uno dei seguenti valori.

    • icr.io/appcafe/mono2micro-cardinal:<version>
    • icr.io/appcafe/mono2micro-ui:<version>
    • icr.io/appcafe/mono2micro-aipl:<version>
    • icr.io/appcafe/mono2micro-bluejay:<version>

    Per le installazioni ER e di prova, sostituire <image_directory> con l'ubicazione dell'immagine copiata.

  5. Verificare l'immagine utilizzando la firma e il repository scaricati.

    Per un'installazione ER o di prova, eseguire il seguente comando standalone-verify per verificare un'immagine.

    skopeo standalone-verify <image_directory>/manifest.json \
<repository_tag> ${fingerprint} <image_directory>/signature-2

Verifica del file .zip Mono2Micro-CLIcon jarsigner

Quando si installa Mono2Micro, si scarica il file Mono2Micro-CLI.zip da http://ibm.biz/Mono2Micro-downloads e si installa lo strumento Mono2Micro strumento a riga di comando. Il file Mono2Micro-CLI.zip scaricato è firmato e può essere verificato con lo strumento jarsigner fornito con Java®.

  1. Verificare il file Mono2Micro-CLI.zip con jarsigner.

    Aprire una riga di comando nell'ubicazione del file ZIP ed eseguire il seguente comando.

    jarsigner -verify Mono2Micro-CLI.zip -certs -verbose

  2. Confermare che l'output del firmatario sia simile al seguente output, che verifica la validità del file.

    Firmatario
X.509, CN= International Business Machines Corporation, OU= IBM CCSS, O= International Business Machines Corporation, L=Armonk, ST=New York, C=US