我正在使用docker notary建立对我从私人docker注册表下载的图像的信任。虽然我在一台主机上运行时能够很好地解决所有问题(推,拉)。但是,在多节点(服务器/客户端)情况下,我只是想知道如何获取发布者公钥。此发布者密钥将与来自客户端主机的docker engine pull一起运行。这里服务器主机有注册表和docker-notary服务器/签名者。
此致 阿希什
答案 0 :(得分:1)
如果您使用的是独立公证,则可以提供信任钉扎配置,以针对发布商的TUF根密钥固定到特定公钥或CA(尽管将证书导入Notary repos是WIP,并计划用于下一个版本)
我建议您查看相关的Notary client config information和this PR,了解有关如何在公证人中进行设置的更多信息 - Docker Content Trust集成为WIP。
答案 1 :(得分:0)
我也是公证人的新手并加快速度。我对公证人(建立在TUF上)的理解是TOFU(首次使用时的信任)。因此,您需要的是能够通过SSL连接到Notary服务器,然后Notral服务器将自动下载发布者证书。您信任第一次获得的内容(因此,TOFU),之后发布者证书将用于验证所有未来的验证/密钥更新/等。