卡巴斯基容器安全
添加与镜像签名验证器的集成
添加与镜像签名验证器的集成
要添加与镜像签名验证器的集成:
- 在“管理 → 集成 → 镜像签名验证器”部分中,单击“添加签名验证器”按钮。
将打开集成设置窗口。
- 在“常规信息”部分中,输入策略名称,并根据需要输入策略说明。
- 在“类型”部分中,选择以下签名验证器之一:
- Notary v1。
- Cosign。
- 根据所选的签名验证器,指定服务器身份验证凭据:
- 对于 Notary v1,指定以下设置:
- 网址 – 存储镜像签名的服务器的完整网址。
- 签名服务器身份验证密钥名称 – 编排器密钥的名称,密钥中包含用于访问存储了镜像签名的服务器的凭据。
该密钥必须位于卡巴斯基容器安全命名空间中。
- 证书 – 用于存储签名的服务器的自生成证书。该证书以 .PEM 格式提供。
- 委派 – 参与签署过程的签名持有者列表。
- 在“受信任的根”下,指定解决方案将在签名验证期间检查的所有公钥对。密钥对包括密钥的名称和值。
如有必要,可以单击“添加密钥对”按钮来添加其他密钥。解决方案最多支持 20 个密钥对。
- 对于 Cosign,指定以下设置:
- 签名服务器身份验证密钥名称 – 编排器密钥的名称,密钥中包含用于访问存储了镜像签名的服务器的凭据。
该密钥必须位于卡巴斯基容器安全命名空间中。
- 证书 – 用于存储签名的服务器的自生成证书。该证书以 .PEM 格式提供。
- 在“受信任的根”下,指定解决方案将在签名验证期间检查的所有公钥对。密钥对包括密钥的名称和值。
对于 Cosign,指定 cosign.pub 提供的 ECDSA 或 RSA 算法的公钥。
如有必要,可以单击“添加密钥对”按钮来添加其他密钥。解决方案最多支持 20 个密钥对。
- 在“签名要求”部分中,指定必须签署镜像的签名和签名持有者的最小数量。
- 签名服务器身份验证密钥名称 – 编排器密钥的名称,密钥中包含用于访问存储了镜像签名的服务器的凭据。
- 对于 Notary v1,指定以下设置:
- 单击窗口顶部的“保存”按钮保存与镜像签名验证器的集成的设置。
您可以使用运行时策略中已配置的集成来确保对镜像内容的保护。
文章 ID: 265764, 上次审阅: 2025年3月17日