0

0

Linux cosign 的 key-pair 生成与 cosign sign / verify 工作流模板

冷炫風刃

冷炫風刃

发布时间:2026-02-22 12:27:11

|

827人浏览过

|

来源于php中文网

原创

cosign generate 默认生成 ecdsa p-256 密钥对,私钥为 pem 格式(cosign.key),公钥为 der 编码(cosign.pub);私钥需 chmod 0600,公钥 verify 仅认 der 格式。

linux cosign 的 key-pair 生成与 cosign sign / verify 工作流模板

cosign generate 生成的密钥对长什么样

默认用 cosign generate 生成的是 ECDSA P-256 密钥对,私钥存为 PEM 格式(cosign.key),公钥是 DER 编码的 cosign.pub ——注意不是 PEM,不能直接用 cat 看内容,会乱码。

  • 私钥文件必须严格保密,权限建议设为 0600;误设成 0644 会导致 cosign sign 拒绝使用
  • 公钥文件虽可公开,但 cosign verify 默认只认 DER 格式;若你手动生成 PEM 公钥(比如用 openssl 转换),verify 会报错 failed to load public key: unable to parse key
  • 不推荐用 --kms--azure-kv 等托管方式初学,本地文件流程最可控,也最能暴露权限和路径问题

cosign sign 怎么指定私钥和签名目标

cosign sign 必须显式传入私钥路径(-key)和待签名镜像或文件(支持 OCI 镜像、二进制、目录等),它不会自动找 cosign.key,也不会读环境变量。

智谱清影
智谱清影

智谱清影是智谱AI最新推出的一款AI视频生成工具

下载
  • 镜像签名示例:cosign sign -key cosign.key ghcr.io/user/app:v1.2.0
  • 文件签名示例:cosign sign-blob -key cosign.key ./release.tar.gz(注意函数名是 sign-blob,不是 sign
  • 如果私钥路径写错或权限不足,错误信息是 error: signing with key: open /xxx/cosign.key: permission denied,不是“file not found”
  • 签名过程依赖远程 registry 支持 OCI Artifact,GitHub Container Registry 和 GHCR 默认支持;Docker Hub 不支持,会卡在 pushing signature 并最终超时

cosign verify 失败的三个高频原因

90% 的 cosign verify 失败不是密钥问题,而是上下文不匹配:镜像 digest、registry 地址、公钥格式三者必须严丝合缝。

  • 别用 tag 验证:cosign verify -key cosign.pub ghcr.io/user/app:v1.2.0 很可能失败,因为 tag 可能被覆盖;务必用 digest:cosign verify -key cosign.pub ghcr.io/user/app@sha256:abc123...
  • 公钥路径写错或格式不对,错误提示是 failed to load public key: asn1: structure error —— 这几乎等于你在用 PEM 格式公钥,而 cosign 要 DER
  • 本地没配 registry auth(比如用 docker login 登录过 GHCR),verify 会卡住几秒后报 GET https://ghcr.io/v2/.../manifests/...: DENIED: permission denied,不是密钥问题,是鉴权缺失

工作流模板里最容易漏掉的一行

所有自动化脚本(CI/CD 或本地发布)中,cosign sign 后必须跟 cosign verify,且 verify 命令里的 digest 必须来自 sign 输出的最后一行,不能靠 docker inspectskopeo 二次查 —— 因为 sign 完立即 push,中间可能有并发覆盖。

  • 正确做法:用命令替换捕获 digest,例如:
    digest=$(cosign sign -key cosign.key ghcr.io/user/app:v1.2.0 | grep "Pulled" | awk '{print $NF}')<br>cosign verify -key cosign.pub ghcr.io/user/app@$digest
  • 如果你用 cosign sign --yes 跳过确认,输出里 digest 行依然存在,不影响提取
  • 这个 digest 是签名 artifact 的 digest,不是镜像本身的 digest;两者不同,不能混用
cosign 的密钥生命周期管理不在工具链内,私钥一旦泄露或丢失,已签内容无法撤销,只能轮换密钥并重新签名全部历史版本。这步没法跳过,也没法自动化兜底。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
scripterror怎么解决
scripterror怎么解决

scripterror的解决办法有检查语法、文件路径、检查网络连接、浏览器兼容性、使用try-catch语句、使用开发者工具进行调试、更新浏览器和JavaScript库或寻求专业帮助等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

371

2023.10.18

500error怎么解决
500error怎么解决

500error的解决办法有检查服务器日志、检查代码、检查服务器配置、更新软件版本、重新启动服务、调试代码和寻求帮助等。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

340

2023.10.25

github中文官网入口 github中文版官网网页进入
github中文官网入口 github中文版官网网页进入

github中文官网入口https://docs.github.com/zh/get-started,GitHub 是一种基于云的平台,可在其中存储、共享并与他人一起编写代码。 通过将代码存储在GitHub 上的“存储库”中,你可以: “展示或共享”你的工作。 持续“跟踪和管理”对代码的更改。

2696

2026.01.21

k8s和docker区别
k8s和docker区别

k8s和docker区别有抽象层次不同、管理范围不同、功能不同、应用程序生命周期管理不同、缩放能力不同、高可用性等等区别。本专题为大家提供k8s和docker区别相关的各种文章、以及下载和课程。

265

2023.07.24

docker进入容器的方法有哪些
docker进入容器的方法有哪些

docker进入容器的方法:1. Docker exec;2. Docker attach;3. Docker run --interactive --tty;4. Docker ps -a;5. 使用 Docker Compose。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

512

2024.04.08

docker容器无法访问外部网络怎么办
docker容器无法访问外部网络怎么办

docker 容器无法访问外部网络的原因和解决方法:配置 nat 端口映射以将容器端口映射到主机端口。根据主机兼容性选择正确的网络驱动(如 host 或 overlay)。允许容器端口通过主机的防火墙。配置容器的正确 dns 服务器。选择正确的容器网络模式。排除主机网络问题,如防火墙或连接问题。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

411

2024.04.08

docker镜像有什么用
docker镜像有什么用

docker 镜像是预构建的软件组件,用途广泛,包括:应用程序部署:简化部署,提高移植性。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

447

2024.04.08

Docker容器化部署与DevOps实践
Docker容器化部署与DevOps实践

本专题面向后端与运维开发者,系统讲解 Docker 容器化技术在实际项目中的应用。内容涵盖 Docker 镜像构建、容器运行机制、Docker Compose 多服务编排,以及在 DevOps 流程中的持续集成与持续部署实践。通过真实场景演示,帮助开发者实现应用的快速部署、环境一致性与运维自动化。

19

2026.02.11

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

928

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.5万人学习

Git 教程
Git 教程

共21课时 | 3.8万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号