Si va a instalar paquetes firmados, establezca las propiedades de imágenes y editores que se describen en esta sección para verificar firmas de paquetes.
Configure las siguientes propiedades de imágenes para utilizar paquetes firmados.
El valor de esta propiedad determina las comprobaciones que se realizarán en los manifiestos al instalar, actualizar, modificar o verificar paquetes en la imagen. La política final que se aplica a un paquete depende de la combinación de política de imagen y política de editor. La combinación será, como mínimo, tan estricta como la más estricta de las dos políticas tomadas individualmente. De manera predeterminada, el cliente de paquete no comprueba si los certificados han sido revocados. Para activar dichos controles, que pueden requerir que el cliente contacte sitios web externos, establezca la propiedad de imagen check-certificate-revocation en true. Se admiten los siguientes valores:
Omite firmas para todos los manifiestos.
Verifica que todos los manifiestos con firmas tengan una firma válida, pero no requiere que todos los paquetes instalados estén firmados.
Éste es el valor predeterminado.
Requiere que todos los paquetes recién instalados tengan al menos una firma válida. Los comandos pkg fix y pkg verify también advierten si un paquete instalado no tiene una firma válida.
Sigue los mismos requisitos que require-signatures, pero también requiere que las cadenas que aparecen en la propiedad de imagen signature-required-names aparezcan como un nombre común de los certificados utilizados para verificar las cadenas de confianza de las firmas.
El valor de esta propiedad es una lista de nombres que deben verse como nombres comunes de certificados al validar las firmas de un paquete.
Configure las siguientes propiedades de editores para utilizar paquetes firmados de un editor particular.
La función de esta propiedad es idéntica a la función de la propiedad de imagen signature-policy, excepto que esta propiedad sólo se aplica a los paquetes del editor especificado.
La función de esta propiedad es idéntica a la función de la propiedad de imagen signature-required-names, excepto que esta propiedad sólo se aplica a los paquetes del editor especificado.
Use los subcomandos set-property, add-property-value, remove-property-value y unset-property para configurar propiedades de firmas de paquetes.
Use las opciones --set-property, --add-property-value, --remove-property-value y --unset-property del subcomando set-publisher para especificar la política de firmas y los nombres requeridos para un editor determinado.
En el siguiente ejemplo, se configura esta imagen para requerir que todos los paquetes estén firmados. Este ejemplo también requiere que la cadena “oracle.com” se vea como un nombre común para uno de los certificados en la cadena de confianza.
$ pkg set-property signature-policy require-names oracle.com
En el siguiente ejemplo, se configura esta imagen para requerir que todos los paquetes firmados se verifiquen.
$ pkg set-property signature-policy verify
En el siguiente ejemplo, se configura esta imagen para requerir que todos los paquetes instalados del publicador example.com estén firmados.
$ pkg set-publisher --set-property signature-policy=require-signatures example.com
En el siguiente ejemplo, se agrega un nombre de firma requerido. En este ejemplo, se agrega la cadena trustedname a la lista de nombres comunes de la imagen que se debe ver en la cadena de confianza de una firma para que se considere válida.
$ pkg add-property-value signature-required-names trustedname
En el siguiente ejemplo, se elimina un nombre de firma requerido. En este ejemplo, se elimina la cadena trustedname de la lista de nombres comunes de la imagen que se debe ver en la cadena de confianza de una firma para que se considere válida.
$ pkg remove-property-value signature-required-names trustedname
En el siguiente ejemplo, se agrega un nombre de firma requerido para un editor especificado. En este ejemplo, se agrega la cadena trustedname a la lista de nombres comunes del editor example.com que se debe ver en la cadena de confianza de una firma para que se considere válida.
$ pkg set-publisher --add-property-value \ signature-required-names=trustedname example.com