使用公司内部的 CA 签署 docker 图像
Sign docker images with internal company's CA
我是 Docker 和 Docker Trust 的新手。我对图像签名和 Notary 的作用有点困惑。
我创建了一些 docker 图像并将它们推送到 ACR(Azure 容器注册表)。现在下一部分是签署它们。我的问题是我可以使用内部或第 3 方代码签名证书来签署这些图像吗?如果是,我们将不胜感激。
谢谢!
ACR 内容信任密钥的密钥限制类似于 Docker 内容信任密钥。因此,您可以将现有的内部证书或第 3 方 code-signing 证书用于 ACR 内容信任密钥。您可以按照 Signing Images with Docker Content Trust.
中的步骤操作
你需要做的就是控制ACR的权限。要将签名图像推送到 ACR,它需要权限 AcrImageSigner,这是将图像推送到注册表所需的 AcrPush(或等效)角色的补充。而且从ACR中拉取镜像和平时没有区别。有关详细信息,请参阅 Grant image signing permissions。
我是 Docker 和 Docker Trust 的新手。我对图像签名和 Notary 的作用有点困惑。
我创建了一些 docker 图像并将它们推送到 ACR(Azure 容器注册表)。现在下一部分是签署它们。我的问题是我可以使用内部或第 3 方代码签名证书来签署这些图像吗?如果是,我们将不胜感激。
谢谢!
ACR 内容信任密钥的密钥限制类似于 Docker 内容信任密钥。因此,您可以将现有的内部证书或第 3 方 code-signing 证书用于 ACR 内容信任密钥。您可以按照 Signing Images with Docker Content Trust.
中的步骤操作你需要做的就是控制ACR的权限。要将签名图像推送到 ACR,它需要权限 AcrImageSigner,这是将图像推送到注册表所需的 AcrPush(或等效)角色的补充。而且从ACR中拉取镜像和平时没有区别。有关详细信息,请参阅 Grant image signing permissions。