Linux notation 的 --oci-layout 与 notation cert 信任链配置

舞夢輝影

发布时间：2026-02-25 16:00:14

141人浏览过

来源于php中文网

原创

notation cert add 只支持 pem 格式证书文件路径，不支持 oci layout 目录；需先用 notation inspect 提取 issuer，再用对应 ca 证书执行 notation cert add --type ca --trust-store ，verify 时必须显式指定相同 --trust-store 名称。

linux notation 的 --oci-layout 与 notation cert 信任链配置

notation cert add 时提示 “OCI layout not found”

这是因为 notation cert add 默认只认本地文件系统路径，而 --oci-layout 是 notation sign 的参数，不是 cert add 的合法选项——它压根不接受 OCI layout 路径作为证书信任源。

常见错误是把签名时用的 --oci-layout 想当然套到证书管理命令上，结果命令直接报错或静默失败。

notation cert add 只支持添加 PEM 格式证书文件（.crt 或 .pem），路径必须指向具体文件，不能是目录
OCI layout 是一个带 index.json 和 blobs/ 的目录结构，notation cert 命令完全不解析它
如果证书是随签名一起存进 OCI layout 的（比如用 notation sign --oci-layout 生成的），得先从 blobs/ 里手动提取证书，再单独 add

如何从 OCI layout 中提取并信任签名用的证书

OCI layout 本身不存储“可信任的证书”，它只存签名（signature.json）和签名人公钥（通常嵌在 signature 内）。要建立信任链，你得拿到签名人自己的 CA 证书（即 issuer 的 root 或 intermediate cert），而不是签名 blob 里的公钥片段。

实操分两步：先确认签名中声明的 issuer，再用该 issuer 的 PEM 证书调用 notation cert add。

PopShort.AI

PopShort是一个AI短剧生成平台

下载

用 notation inspect --oci-layout <path><ref></ref></path> 查看签名元数据，重点关注 issuer 字段（如 https://notary.example.com）和 subject
根据 issuer 找到对应 CA 证书文件（比如 notary-ca.crt），确保它是 PEM 格式、无密码、且未被截断
运行 notation cert add --type ca --trust-store <code>notary notary-ca.crt；其中 notary 是自定义 trust store 名，后续 verify 必须用同一个名字

notation verify --oci-layout 失败：trusted store 名字不匹配

notation verify 不会自动查默认 trust store，它必须显式指定 --trust-store，否则即使证书已 add，也会报 no matching certificate found。

这个参数名容易误解：“trust store” 不是目录路径，而是你在 cert add 时用 --trust-store 定义的逻辑名称（比如 notary），它背后对应 $HOME/.config/notation/truststore/certs/notary/ 下的文件。

verify 命令必须带 --trust-store <name></name>，且 <name></name> 与 cert add 时完全一致（大小写敏感）
如果不指定 --issuer，verify 会尝试匹配签名中 issuer 字段与 trust store 中证书的 Subject 或 URI SAN，不匹配就失败
OCI layout 路径本身不影响信任验证逻辑，它只是告诉 verify 去哪读 index.json 和 signature.json

为什么 verify 成功但容器运行时仍报 “untrusted image”

因为 notation 的信任配置只影响 notation verify 命令本身，对 podman、nerdctl 或 containerd 无任何作用。这些运行时有自己的签名验证机制（比如 cosign 或 in-toto），不读 ~/.config/notation/。

换言之：notation 是独立的签名工具链，不是容器运行时的插件。想让运行时认可，得走对应生态的流程。

Podman 需要配置 /etc/containers/policy.json 并启用 cosign 插件，或用 podman image trust
nerdctl + containerd 目前不原生支持 notation 签名，需转换为 cosign 格式或等 upstream 支持
OCI layout 路径对运行时也无效——它们只认 registry 地址（如 localhost:5000/myapp:v1），不认本地目录

信任链真正起作用的地方，是 notation verify 命令执行时对签名 payload 的逐层解包和证书链校验。其他所有环节——包括你把证书文件放在哪、OCI layout 目录结构多规范、甚至 sign 时用了什么 key——都不影响 verify 是否成功，只要最终传给 verify 的 issuer 字符串能跟 trust store 里某张证书的标识对上就行。

Linux 容器日志与监控方法

Linux swap 分区与性能优化

Linux Goldilocks 的 VPA 推荐值可视化与应用实践

Linux taskset / cpuset 的进程 CPU 绑定与 cgroup cpuset 冲突解决

Linux 内存泄漏排查与修复方法

相关标签:

linux json 字符串 podman https linux

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：Linux 灾备演练与恢复实战下一篇：暂无

作者最新文章

oppo手机截屏有几种方法按键、三指滑动与控制中心截图

2026-02-25 09:05

公积金贷款利率和商贷利率对比

2026-02-25 09:12

Linux 内存泄漏排查与修复方法

2026-02-25 09:14

苹果手机id号更改苹果手机更改Apple ID账号方法

2026-02-25 09:32

微信更新面对面收照片和文件功能微信怎么面对吗穿文件和照片

2026-02-25 09:33

ao3无需下载安装正版方法_AO3无官方app网页版在线使用入口指南

2026-02-25 09:41

艾诺迪亚4紫装掉落列表_艾诺迪亚4紫装BOSS掉落完整列表

2026-02-25 09:52

苹果手机压缩照片文件包苹果手机照片压缩成文件包教程

2026-02-25 09:57

ao3镜像网址链接2026版_AO3最新镜像链接2026入口详解

2026-02-25 09:58

原神6.5幽境危战平民配队分享原神6.5幽境危战满星保姆教学

2026-02-25 09:58

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI编程开发 AI聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 Excel 表格

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI编程开发 AI文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI编程开发 AI文本写作

智谱清言 - 免费全能的AI助手

AI编程开发 Agent智能体

相关专题

json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章，帮助大家解决问题。

448

2023.08.07

json是什么

JSON是一种轻量级的数据交换格式，具有简洁、易读、跨平台和语言的特点，JSON数据是通过键值对的方式进行组织，其中键是字符串，值可以是字符串、数值、布尔值、数组、对象或者null，在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容，供大家免费下载体验。

544

2023.08.23