Convalidare la firma dell'immagine

Le operazioni IoT di Azure firmano le immagini Docker e Helm per consentire agli utenti di verificare l'integrità e l'origine delle immagini usate. La firma usa una coppia di chiavi pubblica/privata per dimostrare che Microsoft ha creato un'immagine del contenitore creando una firma digitale e aggiungendola all'immagine. Questo articolo illustra la procedura per verificare che un'immagine sia stata firmata da Microsoft.

1. Scarica notazione.

   export NOTATION_VERSION=1.1.0
   curl -LO https://github.com/notaryproject/notation/releases/download/v$NOTATION_VERSION/notation_$NOTATION_VERSION\_linux_amd64.tar.gz
   sudo tar xvzf notation_1.1.0_linux_amd64.tar.gz -C /usr/bin/ notation
   

2. Scaricare il certificato pubblico di firma Microsoft: https://www.microsoft.com/pkiops/certs/Microsoft%20Supply%20Chain%20RSA%20Root%20CA%202022.crt.

   Assicurarsi che sia salvato come msft_signing_cert.crt.

3. Aggiungere il certificato all'interfaccia della riga di comando di notazione.

   notation cert add --type ca --store supplychain msft_signing_cert.crt
   

4. Controllare il certificato nella notazione.

   notation cert ls
   

   L'output del comando è simile all'esempio seguente:

   STORE TYPE  STORE NAME  CERTIFICATE 
   ca          supplychain msft_signing_cert.crt
   

5. Creare un file trustpolicy con l'ambito dell'immagine.

   {
       "version": "1.0",
       "trustPolicies": [
           {
               "name": "supplychain",
               "registryScopes": [ "*" ],
               "signatureVerification": {
                   "level" : "strict" 
               },
               "trustStores": [ "ca:supplychain" ],
               "trustedIdentities": [
                   "x509.subject: CN=Azure IoT Operations,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US",
                   "x509.subject: CN=Microsoft SCD Products RSA Signing,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US"
               ]
           }
       ]
   }
   

   • Tutti gli ambiti del registro consentono di evitare di elencare tutte le immagini in bundle con le operazioni IoT di Azure e di evitare modifiche future.
   • CN=Azure IoT Operations include tutte le immagini di Operazioni IoT di Azure. Tuttavia, altre immagini Microsoft richiedono CN=Microsoft SCD Products RSA Signing.

6. Usare la notazione per verificare le immagini scaricate rispetto alla trustpolicy.

   Sostituire il segnaposto della versione con il numero di versione dell'immagine da controllare. Per un'istanza esistente di Operazioni IoT di Azure, è possibile trovare il numero di versione nella pagina di panoramica dell'istanza nella portale di Azure o eseguendo az iot ops show. Per un elenco completo delle versioni disponibili, vedere versioni di azure-iot-operations.

   notation policy import <TRUSTPOLICY_FILE>.json
   export NOTATION_EXPERIMENTAL=1
   notation verify --allow-referrers-api mcr.microsoft.com/azureiotoperations/aio-operator:<AZURE_IOT_OPERATIONS_VERSION>
   

   L'output del comando è simile all'esempio seguente:

   Successfully verified signature for mcr.microsoft.com/azureiotoperations/aio-operator@sha256:09cbca56a2149d624cdc4ec952abe9a92ee88c347790c6657e3dd2a0fcc12d10