Tutte le immagini per WebSphere® Liberty operator sono firmate. Utilizza le firme dell'immagine per verificare l'autenticità e l'integrità delle immagini che hai scaricato.
Prima di iniziare
Per verificare le firme dell'immagine, è necessario installare i seguenti strumenti della riga comandi:La seguente chiave pubblica WebSphere Liberty deve essere presente sullo stesso computer degli strumenti a riga di comando. Copiate la seguente casella di testo esattamente come mostrato in un editor di testo e salvatela in un file chiamato wlo.gpg:-----BEGIN PGP PUBLIC KEY BLOCK-----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=rXKG
-----END PGP PUBLIC KEY BLOCK-----
Procedura
- Importare il file della chiave pubblica WebSphere Liberty sul computer preparato nella sezione prerequisiti.
sudo gpg2 --import wlo.gpg
- Esportare l'impronta digitale per renderla disponibile per il comando di verifica.
export fingerprint=E70E5D6C3F1E452CB0F67DF1BD9FD5BE9E68CA00
- Crea una directory per ogni immagine che vuoi verificare e utilizza il comando skopeo
copy per estrarre l'immagine nell'archivio locale.
Questo comando copia anche il file di firma utilizzato per verificare l'immagine.
Il seguente esempio crea una directory denominata operator-image e copia l'immagine websphere-liberty-operator:1.5.2-amd64 in quella directory.
mkdir operator-image
skopeo copy docker://icr.io/cpopen/websphere-liberty-operator:1.5.2-amd64 dir:./operator-image
Questo esempio mostra l'immagine operatore per la piattaforma Linux® x86_64 (
amd64), ma l'operatore è disponibile anche per la piattaforma Linux on Power ® (
ppc64le) o Linux on IBM Z (
s390x). Specificare il nome immagine corrispondente per la piattaforma.
Ripetere questo passo per eventuali immagini aggiuntive che si desidera verificare, come il bundle o il catalogo:
icr.io/cpopen/websphere-liberty-operator-bundle:1.5.2icr.io/cpopen/websphere-liberty-operator-catalog:1.5.2-<amd64 | ppc64le | s390x>
- Eseguire il comando skopeo standalone-verify per verificare ciascuna immagine utilizzando il file di firma e impronta digitale corrispondente.
Il seguente esempio verifica l'immagine dall'esempio nel passo precedente:
skopeo standalone-verify ./operator-image/manifest.json icr.io/cpopen/websphere-liberty-operator:1.5.2-amd64 ${fingerprint} ./operator-image/signature-1
Risultati
Se la verifica ha esito positivo, viene visualizzato il seguente messaggio:Firma verificata