Görüntü imzalamayı doğrulama

Azure IoT İşlemleri, kullanıcıların kullandıkları görüntülerin bütünlüğünü ve kaynağını doğrulamalarına olanak sağlamak için docker ve helm görüntülerini imzalar. İmzalama, Microsoft'un dijital imza oluşturup görüntüye ekleyerek kapsayıcı görüntüsü oluşturduğunu kanıtlamak için ortak/özel anahtar çiftini kullanır. Bu makalede, bir görüntünün Microsoft tarafından imzalandığını doğrulama adımları sağlanır.

1. Gösterimi indirin.

   export NOTATION_VERSION=1.1.0
   curl -LO https://github.com/notaryproject/notation/releases/download/v$NOTATION_VERSION/notation_$NOTATION_VERSION\_linux_amd64.tar.gz
   sudo tar xvzf notation_1.1.0_linux_amd64.tar.gz -C /usr/bin/ notation
   

2. Microsoft imzalama ortak sertifikasını indirin: https://www.microsoft.com/pkiops/certs/Microsoft%20Supply%20Chain%20RSA%20Root%20CA%202022.crt.

   olarak msft_signing_cert.crtkaydedildiğinden emin olun.

3. Sertifikayı notasyon cli'sine ekleyin.

   notation cert add --type ca --store supplychain msft_signing_cert.crt
   

4. Sertifika gösterimini denetleyin.

   notation cert ls
   

   Komutun çıkışı aşağıdaki örneğe benzer:

   STORE TYPE  STORE NAME  CERTIFICATE 
   ca          supplychain msft_signing_cert.crt
   

5. Görüntü kapsamınızla bir trustpolicy dosyası oluşturun.

   {
       "version": "1.0",
       "trustPolicies": [
           {
               "name": "supplychain",
               "registryScopes": [ "*" ],
               "signatureVerification": {
                   "level" : "strict" 
               },
               "trustStores": [ "ca:supplychain" ],
               "trustedIdentities": [
                   "x509.subject: CN=Azure IoT Operations,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US",
                   "x509.subject: CN=Microsoft SCD Products RSA Signing,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US"
               ]
           }
       ]
   }
   

   • Tüm registryScope'ların Azure IoT İşlemleri ile birlikte gelen tüm görüntüleri listelemekten kaçınmasına ve gelecekteki değişikliklerden kaçınmasına izin veririz.
   • CN=Azure IoT Operations tüm Azure IoT İşlemleri görüntülerini kapsar. Ancak, diğer Microsoft görüntülerine gerekir CN=Microsoft SCD Products RSA Signing.

6. İndirdiğiniz görüntüleri güvenilirliğe karşı doğrulamak için gösterimi kullanın.

   Sürüm yer tutucusunun yerine denetlemek istediğiniz görüntünün sürüm numarasını yazın. Mevcut bir Azure IoT İşlemleri örneği için sürüm numarasını Azure portalındaki örneğe genel bakış sayfasında veya az iot ops show komutunu çalıştırarak bulabilirsiniz. Kullanılabilir sürümlerin tam listesi için bkz . azure-iot-operations sürümleri.

   notation policy import <TRUSTPOLICY_FILE>.json
   export NOTATION_EXPERIMENTAL=1
   notation verify --allow-referrers-api mcr.microsoft.com/azureiotoperations/aio-operator:<AZURE_IOT_OPERATIONS_VERSION>
   

   Komutun çıkışı aşağıdaki örneğe benzer:

   Successfully verified signature for mcr.microsoft.com/azureiotoperations/aio-operator@sha256:09cbca56a2149d624cdc4ec952abe9a92ee88c347790c6657e3dd2a0fcc12d10