在Sigstore Cosign中使用外部CA证书链进行镜像签名验证的实践指南

背景与需求场景

在现代软件供应链安全中，使用可信证书进行容器镜像签名是确保软件完整性的重要手段。许多企业希望利用现有的PKI基础设施（如内部CA体系）与Sigstore工具链集成，实现以下目标：

1. 使用企业根CA签发的终端证书进行签名
2. 验证时只需信任根CA证书
3. 支持证书链的灵活管理（如中间证书的吊销）

核心解决方案

证书链架构设计

典型的证书链应采用三级结构：

企业根CA → 中间CA → 签名终端证书

这种分层设计既保持了根CA的稳定性，又允许通过中间CA实现灵活的证书管理。

Fulcio配置要点

1. 将中间CA证书配置为Fulcio的签发CA：

fulcio-server:
  command:
    - "--ca=fileca"
    - "--fileca-cert=/path/to/intermediate.pem"
    - "--fileca-key=/path/to/.private/intermediate.key"

2. 关键注意事项：

• Fulcio只需要中间CA的私钥，不需要根CA私钥
• 终端签名证书应由Fulcio自动签发，无需预先创建

签名操作实践

推荐使用Sigstore的托管密钥模式（无需自行管理私钥）：

cosign sign \
  --fulcio-url http://fulcio.example.com \
  --rekor-url http://rekor.example.com \
  your-image@sha256:abc123

如需使用预先生成的密钥对，需添加：

--key your-key.key --issue-certificate

验证流程优化

验证时应提供完整的证书链：

cosign verify your-image@sha256:abc123 \
  --certificate-identity="user@example.com" \
  --certificate-oidc-issuer="your-issuer" \
  --certificate-chain=intermediate_and_root.crt

证书链文件应包含中间证书和根证书（按顺序排列）。

高级配置技巧

身份认证定制

1. 使用预生成的OIDC令牌：

--identity-token=$(get_your_token)

2. 企业可部署自己的OIDC提供商，替代默认的sigstore.dev服务

安全最佳实践

1. 根CA私钥应离线保存
2. 中间CA私钥应加密存储
3. 定期轮换中间CA证书
4. 为不同环境（开发/生产）使用不同的中间CA

常见问题排查

1. 证书验证失败：检查证书链是否完整，时间是否有效
2. 签名使用临时密钥：确认是否遗漏--key参数
3. Fulcio报错：检查中间CA证书是否标记为CA证书（basicConstraints=CA:TRUE）

通过以上实践，企业可以将其现有PKI体系与Sigstore生态系统无缝集成，在保持现有证书管理流程的同时，获得现代化的容器签名验证能力。