使用 RSA-2048 签名验证实例身份文档 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 RSA-2048 签名验证实例身份文档

本主题说明如何使用 RSA-2048 签名和 Amazon RSA-2048 公有证书验证实例身份文档。

重要

要使用 RSA-2048 签名验证实例身份文档,您必须从 Amazon Web Services Support 请求 Amazon RSA-2048 公有证书。

使用 RSA-2048 签名和 Amazon RSA-2048 公有证书验证实例身份文档。

  1. 连接到实例。

  2. 从实例元数据中检索 RSA-2048 签名,并将其添加到名为 rsa2048 的文件中。

    1. -----BEGIN PKCS7----- 标头添加到 rsa2048 文件中。

      $ echo "-----BEGIN PKCS7-----" > rsa2048
    2. 从实例元数据中检索 RSA-2048 签名,并将其附加到 rsa2048 文件中。根据实例使用的 IMDS 版本,使用以下命令之一。

      IMDSv2
      $ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/dynamic/instance-identity/rsa2048 >> rsa2048
      IMDSv1
      $ curl -s http://169.254.169.254/latest/dynamic/instance-identity/rsa2048 >> rsa2048
    3. -----END PKCS7----- 脚注附加到 rsa2048 文件中的新行。

      $ echo "" >> rsa2048 $ echo "-----END PKCS7-----" >> rsa2048
  3. 将实例元数据中 实例身份文档 的内容添加到名为 document 的文件。根据实例使用的 IMDS 版本,使用以下命令之一。

    IMDSv2
    $ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/dynamic/instance-identity/document > document
    IMDSv1
    $ curl -s http://169.254.169.254/latest/dynamic/instance-identity/document > document
  4. 将 Amazon RSA-2048 公有证书添加到名为 certificate 的文件。

    1. 创建 certificate 文件。

      $ touch certificate
    2. 使用首选文本编辑器打开 certificate 文件,然后添加您从 Amazon 收到的 Amazon Web Services Support RSA-2048 公有证书的内容。

    3. 保存并关闭文件。

  5. 使用 OpenSSL smime 命令来验证签名。包括 -verify 选项以指示需要验证签名,而包括 -noverify 选项则指示不需要验证证书。

    $ openssl smime -verify -in rsa2048 -inform PEM -content document -certfile certificate -noverify

    如果签名有效,则会显示 Verification successful 消息。如果无法验证签名,请联系 Amazon Web Services Support。