根据Docker文档:管理内容信任的密钥,根密钥是:
图像标记的内容信任根。启用内容信任后,您将创建一次根密钥。也称为脱机密钥,因为它应该保持脱机。
我不知道">一次";。我只有一次机会设置根密钥吗?如果忽略这些上传的存储库的后续后果,我应该怎么做才能重置它?
密钥在首次使用时是信任的,因此如果您更改repo的根密钥,任何以前信任该密钥的人都需要删除该信息,这涉及到更改以前运行此映像的所有位置。公证服务器本身也需要清除该存储库中的数据。创建一个新的存储库可能更容易。
要意识到,内容信托目前指向即将淘汰的公证员v1。Project sigstore已经提供了联合签名,公证人v2正在设计中,我还没有遇到使用Content Trust的重要生产基础设施。即使Docker库中的图像也已经一年多没有登录了,所以如果你启用内容信任,你会发现图像拉取会恢复到缺少任何最近安全补丁的非常旧的图像。