如何在docker中重置根密钥/离线密钥?

How to reset the root key / offline key in docker?

根据 Docker 文档:Manage keys for content trust,根键是:

Root of content trust for an image tag. When content trust is enabled, you create the root key once. Also known as the offline key, because it should be kept offline.

我不知道“一次”的确切含义。我只有一次机会设置根键吗?如果排除这些上传存储库的后续后果,我应该怎么做才能重置它?

密钥在首次使用时是受信任的,因此如果您更改存储库的根密钥,则之前信任该密钥的任何人都需要删除该信息,这涉及更改之前 运行 这个图片。公证服务器本身也需要清除此存储库的数据。创建新存储库可能更容易。

意识到 Content Trust 当前指向即将被淘汰的 Notary v1。项目 sigstore 已经提供了 cosign,Notary v2 正在设计中,我还没有遇到使用 Content Trust 的重要生产基础设施。即使 Docker 库中的图像也没有超过一年的登录时间,所以如果您启用内容信任,您会发现图像拉取恢复到非常旧的图像,缺少任何最新的安全补丁。