WebSphere Liberty 操作员验证代码签名图像

WebSphere® Liberty operator 的所有映像都已签名。 使用图像特征符来验证下载的图像的真实性和完整性。

准备工作

要验证映像签名,必须安装以下命令行工具:以下 WebSphere Liberty 公钥必须与命令行工具存在于同一台机器上。 将以下文本框复制到文本编辑器中,并保存为名为 wlo.gpg 的文件:
-----BEGIN PGP PUBLIC KEY BLOCK-----

mQINBGPmbEgBEADngOaoWkCGOA6wEXSEiy0p/ccG0vmRdMQzm4o0sIPsZ+spdj1b
VQAZx23yGctE30JTu2YAaZEyH2cqgO+iEGMSz9yY6PDwcIn5y7N+tNXoUKdinPJ2
6T4bTypJ1SileGncUVU3U1xAZIH2Cmcn5wmXS/9GKIbtkUQ708RQLKVEFESpjgjr
VKjpxn8pd+0niQniq5h7iNf6cYAQnCsdH/z8oifWnacipEuBDJ9lF30YRiLhK7m6
FTOdBGeF7XohUOI/AGw0erEuTc80YvX/i+IUmf/hqHxY+A/hEjgFkvXxh8zAmCDU
It1v/LV+c9vdjz/hNb+jGI1te3z3xMDQz1WCMIYflyw6ex9nmP7EcFFPG/kRVAMx
cu+glm71QC7Q9ftx1ZvAfYXhNMCr6b91z1e3XYM/Whx9qNkyc8MnoZtq5lxJGRkL
rgB8RrWGP55R7oWbEn80ppT6MtINy6Ft7TZhnjsI6VEsEcB2qi6TC/0/29z9c2z6
DuFFDQ/y/Naqb+mbDhdahhX1t5ABWTgcv+h+EZzs1QRV/ScBFqJMgV6O+BNbsXpZ
/1z0crs6yAHQujK4mgoHEyEiP7/3OVF1Wazlyap9PwU7Y4LKEfdrO2+CIR5AuivR
3PRNhU5NWYvEn9bnIXMsacAfLBTv5lFZqT15PFggtoonDZJHCIncnoQyQwARAQAB
tD5JbnRlcm5hdGlvbmFsIEJ1c2luZXNzIE1hY2hpbmVzIENvcnBvcmF0aW9uIDxw
c2lydEB1cy5pYm0uY29tPokCOgQTAQgAJAUCY+ZsSAIbDwULCQgHAgYVCgkICwIE
FgIDAQIeAQUJB4TN/wAKCRC9n9W+nmjKAGHmD/9QDewA9bYLE6SAePCyFg2/tWAe
U2Ot+nO2QtUn0amF0hPNIv2q4sgVoJ/4tfMyK2JytuvfHCbWlM6rGaUhAdOlR83Q
ATl8d1KhWEOnYDwiBrOlOkyn/Qw3Wv209bNDpd3Y6l1Kootv8F1xbCszkYc1FsJB
Y3i4Cu2asQR3eMCNqAQTIsfKQRWc6dtn9/L0allKR+OOAJRlHZ3woRUbb0NeOYjM
44awORcHvuO7nivIWNntKrqCg/twVVtQrVcLbr9p60adTLQ2kC/E6t5J2G0gy4sX
jy+GAHdZlXr8Yl0wUE36n5bmo016gfV1mlxj1StpHi4kVTB/8xEQBBxaPnaRB7TF
SCTIhAdTt6+Ko+QVLGMEChDJ5HSzDKzSVK/p6BhesFz5xADH2aNdMw4xzwf56Ooa
prAaTQtSE9/LlQQZ+GvAJaeUj8e1Dtu0yQrXanyrMkRl1iNywYNXTB/cbALp06SI
BcRRdyVghNF2kcm6sEhWKS2IyTqLNM7t3UV9SLZanBT1/PlBHifoC/GWR8mAVcUl
wWWLiisj04+mDuy/J9Gu6R8PNS+WQo6aHZPOjN3k1boHjrLzpc6/0DX5p+1AwsYo
Omz0ERJdt888LZ4HY+iEC/G2VMqCMn8iS1Q0KbZ+H8gS3Q194UqFUa6M3JOmfZdQ
rRtygUT5grK8h6/pFg==
=rXKG
-----END PGP PUBLIC KEY BLOCK-----

过程

  1. 在计算机上导入 WebSphere Liberty 公钥文件,该文件在 "先决条件 "部分已准备好。
    sudo gpg2 --import wlo.gpg
  2. 导出指纹以使其可用于验证命令。
    export fingerprint=E70E5D6C3F1E452CB0F67DF1BD9FD5BE9E68CA00
  3. 为要验证的每个映像创建一个目录,并使用 skopeo copy 命令将该映像拉取到本地存储器中。

    此命令还会复制用于验证映像的签名文件。

    以下示例创建名为 operator-image 的目录,并将 websphere-liberty-operator:1.5.2-amd64 映像复制到该目录。

    mkdir operator-image
skopeo copy docker://icr.io/cpopen/websphere-liberty-operator:1.5.2-amd64 dir:./operator-image
    此示例显示了 Linux® x86_64 (amd64) 平台的操作程序映像,但该操作程序也可用于 Linux on Power ® (ppc64le) 或 Linux on IBM Z (s390x) 平台。 指定平台的相应映像名称。
    对要验证的任何其他映像 (例如,捆绑软件或目录) 重复此步骤:
    • icr.io/cpopen/websphere-liberty-operator-bundle:1.5.2
    • icr.io/cpopen/websphere-liberty-operator-catalog:1.5.2-<amd64 | ppc64le | s390x>
  4. 运行 skopeo standalone-verify 命令以使用相应的指纹和签名文件来验证每个图像。
    以下示例验证上一步中的示例中的图像:
    skopeo standalone-verify ./operator-image/manifest.json icr.io/cpopen/websphere-liberty-operator:1.5.2-amd64  ${fingerprint} ./operator-image/signature-1

结果

如果验证成功,那么将显示以下消息:
已验证签名