Görüntü imzalamayı doğrulama
Azure IoT İşlemleri, kullanıcıların kullandıkları görüntülerin bütünlüğünü ve kaynağını doğrulamalarına olanak sağlamak için docker ve helm görüntülerini imzalar. İmzalama, Microsoft'un dijital imza oluşturup görüntüye ekleyerek kapsayıcı görüntüsü oluşturduğunu kanıtlamak için ortak/özel anahtar çiftini kullanır. Bu makalede, bir görüntünün Microsoft tarafından imzalandığını doğrulama adımları sağlanır.
Gösterimi indirin.
export NOTATION_VERSION=1.1.0 curl -LO https://github.com/notaryproject/notation/releases/download/v$NOTATION_VERSION/notation_$NOTATION_VERSION\_linux_amd64.tar.gz sudo tar xvzf notation_1.1.0_linux_amd64.tar.gz -C /usr/bin/ notation
Microsoft imzalama ortak sertifikasını indirin:
https://www.microsoft.com/pkiops/certs/Microsoft%20Supply%20Chain%20RSA%20Root%20CA%202022.crt
.olarak
msft_signing_cert.crt
kaydedildiğinden emin olun.Sertifikayı notasyon cli'sine ekleyin.
notation cert add --type ca --store supplychain msft_signing_cert.crt
Sertifika gösterimini denetleyin.
notation cert ls
Komutun çıkışı aşağıdaki örneğe benzer:
STORE TYPE STORE NAME CERTIFICATE ca supplychain msft_signing_cert.crt
Görüntü kapsamınızla bir trustpolicy dosyası oluşturun.
{ "version": "1.0", "trustPolicies": [ { "name": "supplychain", "registryScopes": [ "*" ], "signatureVerification": { "level" : "strict" }, "trustStores": [ "ca:supplychain" ], "trustedIdentities": [ "x509.subject: CN=Azure IoT Operations,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US", "x509.subject: CN=Microsoft SCD Products RSA Signing,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US" ] } ] }
- Tüm registryScope'ların Azure IoT İşlemleri ile birlikte gelen tüm görüntüleri listelemekten kaçınmasına ve gelecekteki değişikliklerden kaçınmasına izin veririz.
CN=Azure IoT Operations
tüm Azure IoT İşlemleri görüntülerini kapsar. Ancak, diğer Microsoft görüntülerine gerekirCN=Microsoft SCD Products RSA Signing
.
İndirdiğiniz görüntüleri güvenilirliğe karşı doğrulamak için gösterimi kullanın.
Sürüm yer tutucusunun yerine denetlemek istediğiniz görüntünün sürüm numarasını yazın. Mevcut bir Azure IoT İşlemleri örneği için sürüm numarasını Azure portalındaki örneğe genel bakış sayfasında veya az iot ops show komutunu çalıştırarak bulabilirsiniz. Kullanılabilir sürümlerin tam listesi için bkz . azure-iot-operations sürümleri.
notation policy import <TRUSTPOLICY_FILE>.json export NOTATION_EXPERIMENTAL=1 notation verify --allow-referrers-api mcr.microsoft.com/azureiotoperations/aio-operator:<AZURE_IOT_OPERATIONS_VERSION>
Komutun çıkışı aşağıdaki örneğe benzer:
Successfully verified signature for mcr.microsoft.com/azureiotoperations/aio-operator@sha256:09cbca56a2149d624cdc4ec952abe9a92ee88c347790c6657e3dd2a0fcc12d10