Применение Docker Content Trust Runtime: как указать отдельный URL-адрес сервера доверия контента (нотариус)

Я пытаюсь настроить принудительное исполнение во время выполнения с помощью Docker Content Trust, как указано здесь: https://docs.docker.com/engine/security/trust/content_trust/.

{
    "content-trust": {
        "mode": "enforced"
    }
}

Я могу это настроить, но проблема в том, что в моем случае сервер доверия работает на отдельном URL-адресе / порту, и, похоже, нет способа указать URL-адрес сервера доверия в конфигурации демона докеров. Мое лучшее предположение состоит в том, что он ожидает, что сервер доверия будет работать на том же URL-адресе, что и реестр, что является поведением клиента докера по умолчанию (в нашем случае мы запускаем гавань, и диаграмма управления, которую она использует, настраивает сервер доверия на порт, отличный от порта реестра)

Я попытался использовать переменную среды DOCKER_CONTENT_TRUST_SERVER, но она практически игнорируется параметром принудительного исполнения демона docker (если я отключу принудительное исполнение в демоне и использую только это вместе с DOCKER_CONTENT_TRUST, тогда все будет работать нормально). Но из-за требований безопасности и необходимости использовать фиксацию доверия с подписями, которые соответствуют этим параметрам, мне нужно как-то это настроить.

Может ли кто-нибудь указать, чего мне здесь не хватает, или есть ли альтернативный способ сделать это? Кроме того, я использую Docker Enterprise (что ожидается, поскольку эта функция доступна только в корпоративной версии)