서명된 패키지를 설치하는 경우 이 절에 설명된 이미지 등록 정보 및 게시자 등록 정보를 설정하여 패키지 서명을 확인합니다.
서명된 패키지를 사용하려면 다음 이미지 등록 정보를 구성합니다.
이 등록 정보 값은 이미지에 패키지를 설치 및 업데이트하거나 이미지의 패키지를 수정 또는 확인할 때 매니페스트에 대해 수행될 검사를 결정합니다. 패키지에 적용되는 최종 정책은 이미지 정책과 게시자 정책의 조합에 따라 달라집니다. 두 정책을 조합할 경우 수준은 둘 중 더 엄격한 정책을 적용했을 때와 같습니다. 기본적으로 패키지 클라이언트는 인증서가 취소되었는지 여부를 확인하지 않습니다. 이러한 검사를 사용으로 설정하려면 check-certificate-revocation 이미지 등록 정보를 true로 설정합니다. 이 경우 클라이언트가 외부 웹 사이트에 연결해야 할 수도 있습니다. 사용할 수 있는 값은 다음과 같습니다.
모든 매니페스트에 대해 서명을 무시합니다.
서명이 있는 모든 매니페스트가 유효하게 서명되었는지 확인하지만 설치된 모든 패키지에 대해 서명을 요구하지는 않습니다.
이것이 기본값입니다.
새로 설치된 모든 패키지가 유효한 서명을 적어도 하나 이상 포함하도록 요구합니다. 또한 pkg fix 및 pkg verify 명령은 설치된 패키지에 유효한 서명이 없을 경우 경고 메시지를 표시합니다.
require-signatures와 동일한 요구 사항을 따르지만 signature-required-names 이미지 등록 정보에 나열되는 문자열이 서명의 트러스트 체인을 확인하는 데 사용되는 인증서의 공통 이름으로 나타나도록 요구합니다.
이 등록 정보의 값은 패키지 서명을 검증하는 동안 인증서의 공통 이름으로 나타나야 할 이름 목록입니다.
특정 게시자의 서명된 패키지를 사용하려면 다음 게시자 등록 정보를 구성합니다.
이 등록 정보는 지정한 게시자의 패키지에만 적용되는 점을 제외하면 signature-policy 이미지 등록 정보와 기능이 같습니다.
이 등록 정보는 지정한 게시자의 패키지에만 적용되는 점을 제외하면 signature-required-names 이미지 등록 정보와 기능이 같습니다.
패키지 서명 등록 정보를 구성하려면 set-property, add-property-value, remove-property-value, unset-property 하위 명령을 사용합니다.
set-publisher 하위 명령의 --set-property, --add-property-value, --remove-property-value, --unset-property 옵션을 사용하여 서명 정책과 특정 게시자에 필요한 이름을 지정할 수 있습니다.
다음 예에서는 모든 패키지에 서명을 요구하도록 이 이미지를 구성합니다. 또한 이 예에서는 "oracle.com"이라는 문자열이 트러스트 체인의 인증서 중 하나에 대해 공통 이름으로 나타나도록 요구합니다.
$ pkg set-property signature-policy require-names oracle.com
다음 예에서는 서명된 모든 패키지를 확인하도록 이 이미지를 구성합니다.
$ pkg set-property signature-policy verify
다음 예에서는 example.com이라는 게시자에서 설치된 모든 패키지에 대해 서명을 요구하도록 이 이미지를 구성합니다.
$ pkg set-publisher --set-property signature-policy=require-signatures example.com
다음 예에서는 필요한 서명 이름을 추가합니다. 이 예에서는 서명의 트러스트 체인에서 유효한 것으로 나타나야 할 이미지의 공통 이름 목록에 trustedname이라는 문자열을 추가합니다.
$ pkg add-property-value signature-required-names trustedname
다음 예에서는 필요한 서명 이름을 제거합니다. 이 예에서는 서명의 트러스트 체인에서 유효한 것으로 나타나야 할 이미지의 공통 이름 목록에서 trustedname이라는 문자열을 제거합니다.
$ pkg remove-property-value signature-required-names trustedname
다음 예에서는 지정한 게시자에 대해 필요한 서명 이름을 추가합니다. 이 예에서는 서명의 트러스트 체인에서 유효한 것으로 나타나야 example.com 게시자의 공통 이름 목록에 trustedname이라는 문자열을 추가합니다.
$ pkg set-publisher --add-property-value \ signature-required-names=trustedname example.com