コード署名済みイメージの検証

イメージが IBMによって作成およびアップロードされたことを確認できます。 Mono2Micro コマンド・ライン・ツールを提供する Mono2Micro-CLI.zip ファイルを検証することもできます。

前提条件

ご使用のコンピューターに以下のコマンド・ライン・ツールがインストールされていることを確認します。 Linuxでは、通常、パッケージ・マネージャーを使用してイメージをインストールできます。

コマンド・ライン・ツールがインストールされているコンピューターで、以下のテキスト・ブロックを示されているとおりにテキスト・エディターにコピーし、 mono2micro-public.gpgという名前のファイルに保存します。 このテキスト・ブロックは、GNU Privacy Guard フォーマットの IBM Mono2Micro 認定コンテナー公開鍵を表します。

-----BEGIN PGP PUBLIC KEY BLOCK-----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=LOiH
-----END PGP PUBLIC KEY BLOCK-----

署名付きのイメージの検証

イメージは、試用版または権利のあるレジストリー (ER) インストールの場合はシグニチャーを使用して検証できます。

  1. IBM Mono2Micro 認定コンテナー公開鍵をインポートします。
    gpg --import mono2micro-public.gpg
  2. 指紋を準備します。

    fingerprint=$(sudo gpg --fingerprint --with-colons International Business Machines Corporation | grep fpr | tr -d 'fpr:')

    このコマンドは、鍵の指紋を fingerprint 環境変数に保管します。この環境変数は、コマンドが署名を検証するために必要です。 シェル・セッションを終了すると、変数は削除されます。 次回コンピューターにログインするときに、コマンドを再実行して環境変数を再度設定することができます。

  3. プルされたイメージの署名を確認します。

    Mono2Micro コマンド・ライン・ツールを使用してインストールされたイメージに基づいて、 docker images コマンドまたは podman images コマンドを実行して、使用されたイメージのタグを取得します。

  4. 各リポジトリーのローカル・ディレクトリーにコピーします。 例:

    skopeo copy docker://<repository_tag> dir:/<image_directory>

    ER インストールの場合は、 <repository_tag> を以下のいずれかの値に置き換えます。

    • icr.io/cp/mono2micro/mono2micro-cardinal:<version>
    • icr.io/cp/mono2micro/mono2micro-ui:<version>
    • icr.io/cp/mono2micro/mono2micro-aipl:<version>
    • icr.io/cp/mono2micro/mono2micro-bluejay:<version>

    試用版のインストールの場合は、 <repository_tag> を以下のいずれかの値に置き換えます。

    • icr.io/appcafe/mono2micro-cardinal:<version>
    • icr.io/appcafe/mono2micro-ui:<version>
    • icr.io/appcafe/mono2micro-aipl:<version>
    • icr.io/appcafe/mono2micro-bluejay:<version>

    ER インストールと試用インストールの両方で、 <image_directory> を、コピーしたイメージの場所に置き換えます。

  5. ダウンロードしたシグニチャーとリポジトリーを使用してイメージを検証します。

    ER インストールまたは試用インストールの場合は、以下の standalone-verify コマンドを実行してイメージを検査します。

    skopeo standalone-verify <image_directory>/manifest.json \
    <repository_tag> ${fingerprint} <image_directory>/signature-2

jarsigner を使用した Mono2Micro-CLI.zip ファイルの検証

Mono2Micro をインストールすると、 Mono2Micro-CLI.zip http://ibm.biz/Mono2Micro-downloads からファイルをダウンロードし、 Mono2Micro コマンドライン ツールをインストールします。 ダウンロードされた Mono2Micro-CLI.zip ファイルは署名されており、 Java®に同梱されている jarsigner ツールで検証することができます。

  1. jarsigner を使用して Mono2Micro-CLI.zip ファイルを検証します。

    ZIP ファイルの場所でコマンド行を開き、以下のコマンドを実行します。

    jarsigner -verify Mono2Micro-CLI.zip -certs -verbose
  2. 署名者の出力が以下の出力のようになっていることを確認します。これにより、ファイルの妥当性が検証されます。

    署名者
    X.509 CN= International Business Machines Corporation, OU= IBM CCSS, O= International Business Machines Corporation, L=Armonk, ST=New York, C=US