docker - 如何将 docker 信任根密钥 ID 与实际的根密钥文件相关联

Question

鉴于启用了 Docker 内容信任，我可以在检查存储库时看到根密钥信息，如下所示。

[root@lab admin]# docker trust inspect registry.XXXXXX.com/project/nginx --pretty

Signatures for registry.XXXXXX.com/project/nginx

SIGNED TAG   DIGEST                                                             SIGNERS
test         61191087790c31e43eb37caa10de1135b002f10c09fdda7fa8a5989db74033aa   john
test1        61191087790c31e43eb37caa10de1135b002f10c09fdda7fa8a5989db74033aa   john
test2        61191087790c31e43eb37caa10de1135b002f10c09fdda7fa8a5989db74033aa   john

List of signers and their keys for registry.XXXXXX.com/project/nginx

SIGNER    KEYS
john   f20b2f70c3fa

Administrative keys for registry.XXXXXX.com/project/nginx

  Repository Key:       XXXXXXX
  Root Key:     XXXXXXX  <-------------------------------------- this is a hashed value

但是，该根密钥值实际上是一个散列值，因此我无法真正确认用于此 repo 的根密钥是否是我的 ~/.docker/trust/private 中的根密钥文件。

我想知道有没有办法揭示这个散列根密钥 ID 和实际根密钥文件之间的关系。

谢谢你的帮助。

score 0 · Accepted Answer

您可以使用notary -d ~/.docker/trust key list，但如果您有多个根密钥，它可能会造成混淆，因此每次生成根密钥时，我都会将其重命名为 myRepo.key 并将其移动到安全位置，最好离线。仅当您想创建或撤销其他委托密钥时才需要它。

docker - 如何将 docker 信任根密钥 ID 与实际的根密钥文件相关联

1 回答 1

Related

Reference