问题标签 [notary]

docker: 'notary' is not a docker command 以上错误正在进入 docker ce (20.10.2~3-0~ubuntu-bionic)。它仅适用于企业版吗？

如何在公证库中查询 flowID（或其哈希）的状态？（已使用/未使用）。

先感谢您。

我们使用公证服务和第三方提供商 aujas 来签署 docker 镜像。我有一台构建机器，我们在其中运行脚本来对图像进行签名。到目前为止，一切都很好。

当我的客户拉取我们已签名的图像时，他如何确定该图像是已签名的图像并且可以信任？

我从另一台机器（除了构建机器）进行了测试，当我取消设置 DOCKER_CONTENT_TRUST 时，我能够成功提取图像。启用 DOCKER_CONTENT_TRUST 的那一刻，我收到一个错误

错误：docker.io/xxx/xxxx 的远程信任数据不存在：notary.docker.io 没有 docker.io/xxxx/xxxx 的信任数据

我的客户如何相信他正在提取的图像是签名的？

谢谢，马达夫

鉴于启用了 Docker 内容信任，我可以在检查存储库时看到根密钥信息，如下所示。

但是，该根密钥值实际上是一个散列值，因此我无法真正确认用于此 repo 的根密钥是否是我的 ~/.docker/trust/private 中的根密钥文件。

我想知道有没有办法揭示这个散列根密钥 ID 和实际根密钥文件之间的关系。

谢谢你的帮助。

我有一个 docker 公证服务器并启用了内容信任。Build并且push正在我的本地托管代理上的 Azure 管道中执行。我希望有两种可能的签名者类型，一个简单的开发签名和一个生产签名。

如果我要使用某个签名应用程序对文件进行签名，那么我的解决方案是创建一个自定义应用程序来处理签名和执行这些规则。例如，这是通过使用无法从 Azure 管道访问的不同生产密钥进行生产签名来完成的。

但是，当涉及到 docker 图像时，签名是由公证服务器使用预定义的签名者执行的。在 docker 的情况下，我如何执行我想要的？

我签署 docker 镜像的过程如下：

添加签名者

符号

我正在从运行在 Azure VM 上的 Azure 管道构建和签名，到目前为止它看起来还不错。我还想做的是有两个证书。一份用于开发签名，一份用于生产签名。

使用signtool或jarsigner我可以决定每次使用什么证书。不过，我并不完全确定如何在 Docker 上为每个图像设置多个签名者，并选择了我每次都想使用的那个。我的场景的合理设置是什么？

我想使用Docker构建图像ARG并激活它DOCKER_CONTENT_TRUSTv18.06.1-ce

Dockerfile：

运行docker build --build-arg tag=1.33.1 .正常

然后，激活内容信任export DOCKER_CONTENT_TRUST=1

重新运行docker build --build-arg tag=1.33.1 .NOK

收到错误：

知道如何解决这个问题吗？

注意：只发生在FROM指令上

启用 docker 内容信任后，将不会下载没有信任元数据的图像。

但是，在存在信任元数据的情况下，图像将被拉取，那么图像消费者如何验证拉取图像的来源？例如，与信任元数据相关联的提取的 nginx 图像确实是由正版 nginx 发布者提供的？

我们使用 Docker Content Trust 来签署我们的 Docker 镜像。在阅读 Notary文档时，我看到添加委托时可以定义路径。但我不明白 Docker 上下文中的路径。路径定义与 Docker 结合的目的是什么？

我正在尝试使用带有 Notary 的 Harbor 注册表构建、签名和推送多架构容器映像。按照https://www.cncf.io/blog/2021/07/28/enforcing-image-trust-on-docker-containers-using-notary/中的步骤，我能够获得DOCKER_CONTENT_TRUST_SERVER指向的简单示例我的公证服务器的 URL。

但是，当我尝试构建和推送多架构映像时，我没有收到有关信任元数据的提示，并且似乎完全跳过了签名步骤。我正在运行以构建和推送多架构映像的命令是：

是否需要一些额外的步骤来启用 D​​ocker 内容信任buildx？也许我缺少一个标志或构建器需要一些额外的配置？