Installation de packages signés

Si vous installez des packages signés, définissez les propriétés de l'image et de l'éditeur décrites dans cette section pour vérifier les signatures des packages.

Propriétés de l'image pour les packages signés

Configurez les propriétés de l'image suivantes pour utiliser des packages signés.

signature-policy

La valeur de cette propriété détermine quelles vérifications sont effectuées sur des fichiers manifest lors de l'installation d'un package dans cette image. La stratégie finale appliquée à un package dépend de la combinaison des stratégies de l'image et de l'éditeur. La combinaison sera au moins aussi stricte que la plus stricte des deux stratégies prises individuellement. Les valeurs suivantes sont valides pour cette propriété.

ignore

Ignore les signatures pour tous les fichiers manifest.

verify

Vérifie que tous les fichiers manifest avec signatures sont valablement signés, mais ne nécessite pas que tous les packages installés soient signés.

require-signatures

Demande à ce que tous les nouveaux packages installés disposent au moins d'une signature valide. Les commandes pkg fix et pkg verify avertissent également lorsqu'un package installé ne possède pas de signature valide.

require-names

Suit les mêmes exigences que require-signatures mais nécessite aussi que les chaînes répertoriées dans la propriété d'image signature-required-names s'affichent en tant que nom commun des certificats utilisés pour vérifier les chaînes de confiance des signatures.

signature-required-names

La valeur de cette propriété est une liste de noms qui doivent être considérés comme des noms communs de certificats lors de la validation des signatures d'un package.

trust-anchor-directory

La valeur de cette propriété est le nom du chemin d'accès au répertoire contenant les ancres de confiance pour l'image. Ce chemin est relatif à l'image.

Propriétés de l'éditeur pour les packages signés

Configurez les propriétés de l'éditeur suivantes pour utiliser des packages signés d'un éditeur particulier.

signature-policy

La fonction de cette propriété est identique à la fonction de la propriété d'image signature-policy, si ce n'est que cette propriété s'applique uniquement aux packages de l'éditeur spécifié.

signature-required-names

La fonction de cette propriété est identique à la fonction de la propriété d'image signature-required-names, si ce n'est que cette propriété s'applique uniquement aux packages de l'éditeur spécifié.

Configuration des propriétés de signature de package

Utilisez les sous-commandes set-property, add-property-value, remove-property-value et unset-property pour configurer les propriétés de signature de package pour cette image.

Utilisez les options --set-property, --add-property-value, - -remove-property-value et --unset-property de la sous-commande set-publisher pour spécifier la stratégie de signature et les noms requis pour un éditeur particulier.

Exemple 3–33 Demande de vérification de tous les packages signés

Configurez cette image pour vérifier tous les packages signés.

# pkg set-property signature-policy verify

Exemple 3–34 Demande de signature de tous les packages

Configurez cette image pour exiger que tous les packages soient signés. Nécessite également que la chaîne oracle.com soit considérée comme un nom commun pour l'un des certificats dans la chaîne de confiance.

# pkg set-property signature-policy require-names oracle.com

Exemple 3–35 Demande de signature de tous packages d'un éditeur spécifié

Configurez cette image pour exiger que tous les packages installés à partir de l'éditeur example.com soient signés.

# pkg set-publisher --set-property signature-policy=require-signatures example.com

Exemple 3–36 Ajout d'un nom de signature requis

Cet exemple ajoute la chaîne trustedname à la liste de noms communs de l'image qui doivent être vus dans la chaîne de confiance d'une signature pour qu'elle soit considérée valide.

# pkg add-property-value signature-require-names trustedname

Exemple 3–37 Suppression d'un nom de signature requis

Cet exemple supprime la chaîne trustedname de la liste de noms communs de l'image qui doivent être vus dans la chaîne de confiance d'une signature pour qu'elle soit considérée valide.

# pkg remove-property-value signature-require-names trustedname

Exemple 3–38 Ajout d'un nom de signature requis pour un éditeur spécifié

Cet exemple ajoute la chaîne trustedname à la liste de noms communs de l'éditeur example.com qui doivent être vus dans la chaîne de confiance d'une signature pour qu'elle soit considérée valide.

# pkg set-publisher --add-property-value signature-require-names=trustedname example.com