訊息圖示
跳過到頁腳內容
  1. IronSecureDoc
  2. IronSecureDoc 部落格
  3. 使用 IronSecureDoc
  4. Docker sign PDF
使用 IRONSECUREDOC

Docker sign PDF(開發者教程

Curtis Chau
Curtis Chau
更新:

在瞬息萬變的軟體開發和部署環境中,安全性始終是重中之重。 Docker 是一款廣受歡迎的容器平台,因為它能為應用程式帶來許多優勢,例如一致性、可擴充性和隔離性。 不過,任何技術都一樣,如果操作過程中採用不當做法,就可能變得不堪一擊。 對於 Docker 安全性而言,最重要的方面之一是保持 Docker 映像的乾淨和完全可信。 這裡就輪到Docker Signer Add 工具發揮作用了。 以下文章將探討 Docker Signer 是什麼,為什麼它很重要,以及如何在開發流程中有效地實現它。

什麼是 Docker Signer?

Docker Signer是一款旨在透過使用數位簽章來增強 Docker 映像安全性的實用程式。 簽章用於對 Docker 映像進行身份驗證和完整性驗證,從而確保沒有發生任何篡改或變更。

對於數位簽章而言,在產生 Docker 映像的加密簽章後,即可使用數位簽章來證明自鏡像簽章以來沒有對鏡像進行任何修改。 將 Docker Signer 整合到您的 CI/CD 管道中意味著您正在應用一個強大的安全模型,其中您只部署受信任的映像。

Docker Signer 為什麼重要?

-完整性驗證: Docker 映像本質上只是一個包含檔案和元資料的 tar 包。 否則,就無法保證你部署的東西正是你想要的。 Docker Signer 提供了一種確保完整性的方法,檢查映像是否已更改或損壞。

-身份驗證:數位簽章確保 Docker 映像來源的真實性。 這意味著您可以放心,它來自您信任的人,並且在運輸過程中沒有任何改變。

-合規性和審計:許多行業和企業在安全和審計方面都有嚴格的合規性要求。 Docker簽名器透過非常清晰的映像真實性和完整性追蹤來幫助實現合規性。

信任管理:這在任何多團隊或多組織架構中都是不言而喻的。 Docker Signer 透過不使用未經簽署的映像(至少是經過來源驗證的映像)來實現信任管理。

Docker簽署者的工作原理

Docker Signer 使用一些密碼學技術來產生和驗證簽章。 步驟如下:

1. Docker鏡像簽章:

-產生簽章:在建置 Docker 容器時,使用先前使用的根金鑰和建立的私鑰作為公鑰-私鑰對的一部分,以加密方式為容器產生數位簽章。

-在映像中包含簽章:此輸出簽章將套用於 Docker 容器,可透過關聯的元數據,也可以透過完全不同的簽章檔案。

2. Docker映像驗證:

-簽名驗證: Docker Signer 使用已部署或已拉取的私鑰的 ID 檢查映像在相應公鑰上的簽名,該私鑰已用於對其 Docker 映像進行簽名。

-完整性檢查:驗證成功-證明影像自簽名以來未被修改; 驗證失敗-可能有篡改或損壞。

使用 IronSecureDoc 實現 Docker Signer

若要有效實作 Docker Signer,請依照以下步驟操作:

設定 Docker Signer 新增步驟

啟用 Docker 內容信任

Docker 內容信任預設是關閉的。 您可以透過將環境變數DOCKER_CONTENT_TRUST設定為 1 來啟用它。

export DOCKER_CONTENT_TRUST=1
export DOCKER_CONTENT_TRUST=1
SHELL

初始化公證人儲存庫

在實際對鏡像進行簽名之前,必須先初始化 Notary 伺服器儲存庫。 您的圖像的委託密鑰和簽名將儲存在其中。

docker trust key generate <name>
docker trust key generate <name>
SHELL

該命令會產生一個新的密鑰對,並將私鑰保存在本地。

Docker Sign Pdf 1 related to 初始化公證人儲存庫

載入已建立金鑰

使用docker trust key load將現有的私鑰載入到 Docker 的信任管理系統中。 此命令用於匯入使用者產生的或從其他來源收到的新儲存庫金鑰,以便可用於在 Docker 內容信任下對 Docker 映像進行簽署。

docker trust key load --name <name> <path-to-public/private-key>
docker trust key load --name <name> <path-to-public/private-key>
SHELL

下圖顯示了對應的公鑰檔案。

Docker Sign Pdf 2 related to 載入已建立金鑰

對 Docker 映像進行簽名

只需將映像推送到 Docker 映像倉庫即可簽署。 啟用 Docker 內容信任;推送操作將對映像進行簽署。

docker push <your-registry>/<your-image>:<tag>
docker push <your-registry>/<your-image>:<tag>
SHELL

如果啟用了 Docker 內容信任,Docker 將使用您的私鑰對映像進行簽名,並且簽名也會隨映像一起發送出去。

驗證簽名影像

若要驗證已簽署的鏡像,請使用下列命令:

docker trust inspect --pretty <your-registry>/<your-image>:<tag>
docker trust inspect --pretty <your-registry>/<your-image>:<tag>
SHELL

此指令輸出與鏡像關聯的簽章金鑰和簽章。

使用docker trust inspect 指令驗證已簽章鏡像

管理簽署金鑰

可以使用docker trust signersdocker trust signer指令來管理簽章金鑰。

新增簽名人:

docker trust signer add --key <path-to-key> <signer-name> <your-registry>/<your-image>
docker trust signer add --key <path-to-key> <signer-name> <your-registry>/<your-image>
SHELL

下圖顯示了將帶有 ID 的儲存庫金鑰新增至控制台,然後將憑證新增至 Docker 儲存庫,並顯示成功新增簽署者的消息。

使用docker trust signer 指令新增倉庫金鑰

使用自訂憑證授權單位 (CA)

如果使用自訂 CA,請確保 Docker 信任此 CA。 這通常涉及將 CA 憑證放置在 Docker 的受信任憑證清單中。

將您的 CA 憑證貼到/etc/docker/certs.d/<your-registry> /ca.crt目錄中。 /etc/docker/certs.d/<your-registry> /ca.crt Docker 主機上的/etc/docker/certs.d/<your-registry> /ca.crt檔案。

將 Docker 與 TLS 結合使用

若要使用 TLS 保護 Docker 守護進程,請產生伺服器和用戶端證書,並配置 Docker 以使用它們。

產生證書

使用 OpenSSL 建立必要的憑證:

openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
openssl genrsa -aes256 -out ca-key.pem 4096
openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem
SHELL

產生伺服器及客戶端金鑰及憑證:

openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=your-server" -sha256 -new -key server-key.pem -out server.csr
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
openssl genrsa -out server-key.pem 4096
openssl req -subj "/CN=your-server" -sha256 -new -key server-key.pem -out server.csr
openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem
SHELL

最後,將憑證放置在正確的目錄中,並調整 Docker 守護程式配置,使 Docker 能夠使用這些憑證。

配置 Docker 守護程式

修改 Docker 守護程式的配置,使其使用產生的憑證:

{
  "tls": true,
  "tlsverify": true,
  "tlscacert": "/etc/docker/ca.pem",
  "tlscert": "/etc/docker/server-cert.pem",
  "tlskey": "/etc/docker/server-key.pem",
  "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"]
}

重新啟動 Docker 服務以套用變更。

IronSecureDoc是什麼?

IronSecureDoc是一款企業級文件安全解決方案,可保護機密文件免受未經授權的存取和資料外洩。 它包含強大的工業級加密功能,可對靜態檔案和傳輸中的檔案進行加密,確保您的檔案安全儲存和傳輸。 它包含詳細的存取控制,用於控制使用者檢視和編輯文件的權限等級。 此外,它還提供高級資料處理工具,以便在共享之前隱藏關鍵資訊。

IronSecureDoc:PDF 安全與合規伺服器

IronSecureDoc包含即時追蹤、稽核和活動日誌記錄功能,支援 GDPR 和 HIPAA 合規性。 它與文件管理系統和協作平台集成,可在不中斷工作流程的情況下增強安全性,保護關鍵訊息,並提供符合合規要求的格式。 它尤其適用於金融、醫療和法律等行業。 使用詳情請參閱教學頁面。

在 IronSecureDoc 中加入簽署者的優勢

在 IronSecureDoc 框架內對 Docker 映像進行簽名,可以繼承 Docker 映像簽名的所有安全功能,並利用 IronSecureDoc 的專用功能來增強。 福利包括:

端對端安全與合規

-更可靠的映像完整性:確保從"建置"到"運行"的完整性。 未經授權,不得更改已簽署的影像。

-監管合規性: IronSecureDoc 針對多個安全標準,簡化了 Docker 簽署者在嚴格的行業審計法規下的適應過程。

單一安全層

-整合安全管理:全面管理和保護文件和影像,集中一致地執行安全策略。

-無縫工作流程整合:將影像簽名與現有的安全工作流程集成,從而降低複雜性並減少安全漏洞。

更安全的供應鏈

  • CI/CD 安全管道:確保在部署前驗證 Docker 映像,從而增強供應鏈安全性。

-安全部署:降低供應鏈攻擊的風險,確保在生產環境中只使用有效、可信賴的鏡像。

結論

將 Docker 映像簽章與IronSecureDoc集成,可提高容器化應用程式的安全性、合規性和運作效率。 這樣可以確保 Docker 映像不會被篡改,符合監管標準,並在整個軟體供應鏈中保持可驗證的信任鏈。 將 Docker 簽章納入IronSecureDoc框架,實現統一、自動化的數位資產安全,簡化合規流程,並透過保護您的品牌和跨環境部署來增強利害關係人的信任。

IronSecureDoc:許可證信息

IronSecureDoc提供免費試用。 企業許可資訊請造訪許可頁面。 IronSecureDoc 提供全面的文檔,幫助您快速上手。 Iron Software也提供IronPDFIronXLIronOCR等其他產品,用於解決 PDF 轉換、Excel 任務、OCR 處理等相關問題。請訪問我們的網站以了解更多資訊。

常見問題解答

如何使用 Docker 簽署 PDF?

若要使用 Docker 簽署 PDF,您可以將 Docker Signer 與 IronSecureDoc 之類的文件安全解決方案整合。這可確保 PDF 被安全簽署,並使用加密數位簽章維持文件的完整性。

什麼是 Docker Signer,它如何增強安全性?

Docker Signer 是一個透過使用數位簽章來增強 Docker 影像安全性的公用程式。它可以確保 Docker 映像檔的完整性和真實性,驗證它們未被篡改,並驗證它們的來源。

實施 Docker Signer 涉及哪些步驟?

實施 Docker Signer 涉及啟用 Docker 內容信任、初始化 Notary 儲存庫、管理簽章金鑰,以及將 Docker 影像推送至註冊中心進行簽章。此流程可確保影像是安全且值得信任的。

Docker Signer 如何與文件安全解決方案整合?

Docker Signer 可與 IronSecureDoc 等文件安全解決方案整合,以確保端對端的安全性。這種整合有助於保障 Docker 影像的完整性與真實性,支援符合業界標準,並加強 CI/CD 管線的安全性。

為什麼 Docker 映像簽章在 CI/CD 管道中很重要?

Docker 映像簽章在 CI/CD 管道中非常重要,因為它可以驗證所使用的映像是真實且未經篡改的。這可確保僅部署可信的 Docker 映像,降低供應鏈風險,從而維持管道的安全性。

Docker Signer 如何有助於法規遵循?

Docker Signer 可維護影像真實性與完整性的可驗證記錄,協助符合法規。這符合產業標準與稽核要求,確保組織符合必要的法規遵循準則。

Docker Content Trust 在影像安全上扮演什麼角色?

Docker Content Trust 可確保 Docker 映像在使用前已簽章和驗證。透過啟用 Docker Content Trust,您可以保證只有透過數位簽章驗證的可信映像才會被使用。

如何確保 Docker 影像的安全通訊?

您可以透過使用自訂的憑證授權機構 (CA) 來確保 Docker 影像的安全通訊。這需要將 CA 證書放入 Docker 的可信憑證中,以安全地管理影像通訊。

Curtis Chau
Curtis Chau
  立即與工程團隊聊天
技術作家

Curtis Chau 擁有卡爾頓大學計算機科學學士學位,專注於前端開發,擅長於 Node.js、TypeScript、JavaScript 和 React。Curtis 熱衷於創建直觀且美觀的用戶界面,喜歡使用現代框架並打造結構良好、視覺吸引人的手冊。

除了開發之外,Curtis 對物聯網 (IoT) 有著濃厚的興趣,探索將硬體和軟體結合的創新方式。在閒暇時間,他喜愛遊戲並構建 Discord 機器人,結合科技與創意的樂趣。

相關文章

30 天試用 → 完整產品。無限制。無卡。 開始免費試用