Obtención de una clave pública para la verificación de firmas
Utilice una clave pública GPG para verificar la firma de las imágenes firmadas en una interconexión de despliegue continuo (CD).
Puede obtener una clave pública GPG como se indica a continuación:
- Utilización de la interconexión de integración continua (CI).
- Utilizando el sistema local.
Obtención de una clave pública GPG utilizando el conducto de integración continua (CI)
-
Para obtener una clave pública, añada la variable de entorno
print-code-signing-certificate
con un valor de 1 en el conducto de AC. Después de ejecutar el conducto de AC, la clave pública GPG se imprime en la consola en la etapabuild-sign-artifact
. A continuación, puede copiar la clave pública en un archivo y codificarla en formato base64 ejecutando el mandato siguiente:cat copied_key.txt | base64
-
Copie la clave codificada en la interconexión de despliegue continuo (CD).
Obtención de una clave pública GPG utilizando el sistema local
Si tiene la clave privada GPG en el conjunto de claves, puede exportar la clave pública directamente.
-
Compruebe si su máquina tiene un anillo de claves GPG. Los conjuntos de claves son agrupaciones de claves que permiten que estas agrupaciones se gestionen de forma independiente. Para obtener más información, consulte Agrupación de claves utilizando conjuntos de claves. Ejecute el siguiente mandato:
gpg --list-keys /home/user/.gnupg/pubring.kbx ------------------------------- pub rsa3072 2021-04-15 [SC] [expires: 2023-04-15] 88DC11E8FDDF028F02E4184719D6C4C5990F144F uid [ unknown] user name <user.name@email.com> sub rsa3072 2021-04-15 [E] [expires: 2023-04-15]
-
Si la clave GPG existe en el sistema, exporte la clave pública GPG ejecutando el mandato siguiente:
gpg --armor --export <Email Address> -----BEGIN PGP PUBLIC KEY BLOCK----- xsBNBGQICw0BCADS5GwuET5rkH6n1e6bM8sYod5Apbf06yQqhAFz5hkAWCu50Nw0 GEyxRQCAxp+9xERSr43W0StSaL9KGHBaB3oS9evkcIrlOkTwncvAZODAsaorcRtW 1IkICPhztRHyN+wR2TWadatHz/RvOlEDVAg51XLfFIQibTStgweB3rV2c5jTsCUc C6N6sNoHx4OhLZ7BNJSSZBByyt4qf3d2yErOULjjUCYsvcTaOM4gtXx4Cbsk7F/y kZnCCqFimPOJKjsXjc+6hyAKgG0xRIGtv/zzU+nwew2fDblWTwZjDx4V9KZl1o07 XBHfNu0hKgvQhJURxY7gCtYtIHoDF5xI2/OfABEBAAHNGmV0c3QgPHVzZXIubmFt ZUBlbWFpbC5jb20+wsBtBBMBCgAXBQJkCAsNAhsvAwsJBwMVCggCHgECF4AACgkQ 8aKO5nwRdmhECwf9Flyfu2VBMQabeU4IIZESgDjPxl4m7yiIpOdLNcWPxTS9S3th 3x84/wQE9ZwX8vpBv/1KN8cZROJDnVAmZhVGVa3CBOI4dhFfMAU9mwzAWH0owjmt QtHOoQ+cajcQEvvkl4UTnScoEXwVVqKHNWAAq/myDRtZr1yCMokmbc0PjCftIfHr a+50dYZEVL9D8Cq1dQKFsmPCPPZvUmHQKXQTUr4usY72zf9IUPH6n5D2tkpNo253 lWEVptVKHH21XhNpp+ROY7DTB0xLFzIirXh5Rwx5OkGO7n1gfUM4B1i1z3A6uXhX sP7wf45OaFscPMVGmVFOgP1VRdNsBfPodT1NG87ATQRkCAsNAQgAoMcJTSrAPMrj u0kMHGlE2/D+7TkKnJ5Gtw38EMxDX/kKBiKhI7WoT3OKjT/GrpXSIn1TfMWHh2oQ mBP9g0dXnr9dNB7eQMtq8dVU9cVg63U05tSbckoCiLqnVU5nG7NdUGd8n1QPFPw5 wRdT/BWZ/NsruWZ9DLIoCqSE73Ez4p7KVu0Nfm62D4Z87ejOfsObcLRZuLkjK9Mn 0te5LMZ4xTTTzSSia3mxNwVtKE8r7ihf+f6vCvDzCD23OnqeSeQnOoxlvdBLOyWT QkFWP/OdYIPBLAVG12aUAPq79TW4B04LWIw7LjbXenszI6M1LqUQgP+PHegMTs2O EQtLJHJJNQARAQABwsGEBBgBCgAPBQJkCAsNBQkPCZwAAhsuASkJEPGijuZ8EXZo wF0gBBkBCgAGBQJkCAsNAAoJEKLCBxPVXHfTJPQH/3mUPJGxlsdRFsFW3xvNEfRX EGdV9sQOhgcV+/ZLmnrWTpjBFfzWXJDetyM3awKmrMbggnPmavJyXjCB+Skrsqjf qO7mlc4oi9MGdSnsZ8UBjKQhNJYGSQWN7AmfFs+FOLopvlpDh5nmfxEiS+4DAxu2 3Ur0GN93QJ7FbIpKGhtH20XtVl1Gfj6ZA7jwY50kY3rhw7qzw22e4a+URAi52ReN ZlElL7qQCiYGk2FYwhPYj4WCGmrx7mAGAdI/Xsqtgpwon1YkFuo3psZP9IXrskls XP2Y9NDnYZM/nV0RCBRoJKvJL2daJyQ9iHmfeF0Hh7AxmboQWZo2tnnOqprOwAVU dAgArROMqK7Ng+j3yAAY9xuHmI2GVHSqK/UPiO+XGvuGWDLzlrgT7ehpCSIeg/sF 0ZfE5fYV3758kAQEclpejV71mL2pedBwzigD3IH6Mlit5slwqlmsBWCN64DwGJLp aKsdbBcglUixuO5q0dLEHHXYVgUUqrV7rEdW5s+4LiROcHgQCLIDzZOYjCqGYex4 YhWPFPmReFd48qDQAFDtU0teUeeMTMWHQCGQq2eZLJtHpG0axrqKi3kl5K5TbFR6 FpwkW3HhQn8p48PWS78MJVZZvFD+GDOa8xLQR3ylkzdI3ODO9Cuzfo+sWJIQk/gB bGCnEBJJosoJebVF8ZpXI+Qbg87ATQRkCAsNAQgAwPpK+5OCM0OuNoErYCTNHama 5VrlHjc3glUQUIIGYhZtfQiINPIB0gjPURkOmJHZdFWQccE+JLlX0hVLHVaisr7q izSI8VZ4/YUYfTJHltTLiu9PoYw922UQo7fRLglUmvv4nctBkT+T2YWzJNNQaffR Ac1wLhFSklDPxAvY+xJ1vCYABYF5gml6lLNEy0BD3+w8rGIfmXi92P6CtxSi6Msx zD+p8jib4rKuWICj79+DtDvzglmeoSCzFjINQ2UkbULRAOZWDwoJlt247SPWSKpi 0fabbaAwHIeoCPYoOWlpx/3jdXDmBB9HEGUUk2q8eHaHUkQdyfm5uxU188VUfwAR AQABwsGEBBgBCgAPBQJkCAsNBQkPCZwAAhsuASkJEPGijuZ8EXZowF0gBBkBCgAG BQJkCAsNAAoJEFIxvQO1BHFkFNUIAKNXypvVxFXm7w97+6teXRUWlL8N+qlCaJlO dVmAeLXZTE7k/r+IeYR53Xf4oS9kAqVkB9VzyBSvBjNmpKHv84UMbPMm44M8ESsc Cf9drVrW9Cuw3qwkuVYXnlnhukxLm/1ivSl2Tw/ywwpShGdhQc9KnPPSYtGEMAhM /dqXUtZs/akOScoyaU9cNNEEQVlzGmKh0T1Qb4xuFd9dqNC9wJ2aGDXcGFnDvAoq YSZZl5KWY/11AqBR9smeMyZrK8SAAw8dFPpVNsLWGdTKrywfSjcBUqasoI2QvFJB Nbmu7JILvEsMXtA2vjJ3SQtOVZs744mo9fi8Jpu/V7P7v+88u8EYWwf+OgQUJT/e WzslyV2/ST9+ozxfsGwpl9hlzmPQ4B+a7wNPTqRwCrJgaVIz3Q3LzV06wv7b0YmU Vz1j3Zv2SrQntYGR6F4Whi/j4vLl19eI0LhnxcOw4/Ry4pQ8NnypF63Vz7XpNEaf vF/P82FwXHR0OvOhEt3UgGdxvC69VF8tHlqaXjMLvmoBMrk1oi2ZDONo/3v9xwzO EnxlN5I7ah3n9aBt+D0NZ8EU2qfclMNEEI4viGzB++BEUMbflmbnFdt2Nmbqk1pe bknJV8p6m/r56kBPDvk5uqd/L2+j50MrAu4RFNIy4qx+ub1MxqU+MZGjFa3O46Al ftfswLBW+es4fQ== =0FYC -----END PGP PUBLIC KEY BLOCK-----
-
Después de exportar la clave pública GPG, codifique la clave en formato
base64
antes de copiarla en el campocode-signing-certificate
.
Almacenamiento de la clave
Proporcione la clave GPG a la interconexión de CD de una de las maneras siguientes:
- Almacene la clave en IBM® Key Protect for IBM Cloud®.
- Almacene la clave en IBM Cloud® Secrets Manager.
- Almacene la clave directamente en la cadena de herramientas de AC.
Asegúrese de que la clave se copie en el formato correcto para evitar un error de firma de interconexión de AC. Utilice pbcopy
(OS X) o clip
(Windows Git bash) en los mandatos especificados en las secciones siguientes
para copiar el contenido clave en el portapapeles.
Almacene la clave en Key Protect
Debe codificar base64
la clave GPG antes de almacenarla en la instancia de Key Protect .
Exporte y copie la clave GPG en el portapapeles tal como se indica a continuación:
-
OS X
gpg --armor --export <Email Address> | base64 | base64 | pbcopy
-
windows
gpg --armor --export <Email Address> | base64 -w0 | base64 -w0 | clip
-
Linux
gpg --armor --export <Email Address> | base64 | base64
-
En la consola de IBM Cloud , seleccione la instancia de Key Protect donde desea almacenar la clave GPG que ha generado.
-
Pulse el icono Añadir
para añadir una nueva clave a la instancia.
-
Seleccione la opción Importar su propia clave .
-
Seleccione el tipo de clave como Clave estándar.
-
Proporcione un nombre adecuado en el campo Nombre de clave . La clave GPG almacenada se puede recuperar más adelante utilizando este nombre.
-
Copie la clave que ha exportado en el campo Material de clave .
Asegúrese de que no haya ninguna línea adicional al final de la clave cuando copie la clave y péguela en el campo Material de clave .
-
Expanda la sección Opciones avanzadas y seleccione la opción Elegir un conjunto de claves como valor predeterminado.
-
Añada la clave a la protección de claves pulsando Añadir clave.
Figura 1. Añada la clave para proteger la clave
Para obtener más información sobre Key Protect, consulte Acerca de Key Protect.
Almacene la clave en Secrets Manager
Debe codificar base64
la clave GPG antes de almacenarla en la instancia de Secrets Manager .
-
Exporte y copie la clave GPG en el portapapeles.
-
OS X
gpg --armor --export <Email Address> | base64 | pbcopy
-
windows
gpg --armor --export <Email Address> | base64 -w0 | clip
-
Linux
gpg --armor --export <Email Address> | base64
-
-
En la consola de IBM Cloud , seleccione la instancia de Secrets Manager donde desea almacenar la clave GPG que ha generado en los pasos anteriores.
-
Pulse el icono Añadir
para añadir una nueva clave a la instancia.
-
Seleccione la opción Otro tipo de secreto .
Figura 2. Otro tipo de secreto -
Seleccione el tipo de clave como Clave estándar.
-
Asigne un nombre adecuado en el campo Nombre . La clave GPG almacenada se puede recuperar más adelante utilizando este nombre.
-
Elija la opción como Valor de secreto y pegue la clave tal como se ha exportado anteriormente en el campo Valor de secreto .
Asegúrese de que no haya ninguna línea adicional al final de la clave cuando copie la clave y péguela en el campo Valor de secreto .
-
Añada la clave a la instancia de Key Protect pulsando Añadir.
Figura 3. Añada la clave
Para obtener más información sobre Secrets Manager, consulte Iniciación a Secrets Manager.
Exporte la clave privada y almacénela directamente en la interconexión de integración continua
Utilice este método sólo para pruebas. Utilice keyprotect
o secrets manager
para almacenar claves.
Debe codificar base64
de forma individual la clave GPG antes de almacenarla como una propiedad de interconexión protegida.
Almacene de forma segura la clave GPG en una instancia de Key Protect o Secrets Manager como se indica a continuación:
-
OS X o Linux
gpg --armor --export <Email Address> | base64
-
windows
gpg --armor --export <Email Address> | base64 -w0