验证签名EC2 TOE安装下载 - EC2 Image Builder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

验证签名EC2 TOE安装下载

本节介绍了验证安装下载的有效性的建议过程EC2 TOE在基于 Linux 和 Windows 的操作系统上。

验证签名EC2 TOELinux 上的安装下载

本主题描述验证安装下载是否有效的建议过程。EC2 TOE在基于 Linux 的操作系统上。

无论何时从 Internet 下载应用程序,我们都建议您验证软件发行商的身份。此外,检查应用程序从发行以来是否已遭更改或损坏。这会保护您免于安装含有病毒或其他恶意代码的应用程序版本。

如果您在运行本主题中的步骤后确定适用于EC2 TOE已遭更改或损坏,请不要运行安装文件。否则,可联系Amazon Web Services Support有关支持选项的详细信息,请参阅Amazon Web Services Support.

EC2 TOE适用于基于 Linux 的操作系统的文件是使用GnuPG是安全数字签名的 Pretty Good Privacy 的开源式执行 (OpenPGP) 标准)。GnuPG(也称为GPG) 通过数字签名提供身份验证和完整性检查。Amazon EC2 发布了您可用于验证已下载的 Amazon EC2 CLI 工具的公钥和签名。有关 PGPGnuPG (GPG) 的更多信息,请参阅 http://www.gnupg.org

第一步是与软件发行商建立信任。下载软件发布者的公有密钥,检查公有密钥的所有人是否真为其人,然后将该公有密钥添加到您的密钥环。密钥环是已知公有密钥的集合。验证公有密钥的真实性后,您可以使用它来验证应用程序的签名。

安装 GPG 工具

如果您的操作系统是 Linux 或 Unix,GPG 工具很可能已经安装。要测试系统上是否已安装这些工具,请在命令提示符处键入 gpg。如果已安装 GPG 工具,您会看到 GPG 命令提示。如果未安装 GPG 工具,您将看到错误消息,指出无法找到命令。您可以从存储库安装 GnuPG 包。

在基于 Debian 的 Linux 上安装 GPG 工具

  • 从终端设备运行以下命令:apt-get install gnupg

在基于 Red Hat 的 Linux 上安装 GPG 工具

  • 从终端设备运行以下命令:yum install gnupg

验证并导入公有密钥

本流程的下一步是验证 EC2 TOE 公有密钥,并在 GPG 密钥环中将其添加为可信任密钥。

验证并导入 EC2 TOE 公有密钥

  1. 通过执行下列操作之一获取公共 GPG 生成密钥的副本:

    • 从 https://awstoe 下载密钥-<region>.s3.<region>.amazonaws.com /资产/awstoe.gpg。例如:https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/assets/awstoe.gpg

    • 将以下文本中的密钥复制并粘贴到名为 awstoe.gpg 的文件中。确保包含下列所有项:

      -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v2 mQENBF8UqwsBCACdiRF2bkZYaFSDPFC+LIkWLwFvtUCRwAHtD8KIwTJ6LVn3fHAU GhuK0ZH9mRrqRT2bq/xJjGsnF9VqTj2AJqndGJdDjz75YCZYM+ocZ+r5HSJaeW9i S5dykHj7Txti2zHe0G5+W0v7v5bPi2sPHsN7XWQ7+G2AMEPTz8PjxY//I0DvMQns Sle3l9hz6wCClz1l9LbBzTyHfSm5ucTXvNe88XX5Gmt37OCDM7vfli0Ctv8WFoLN 6jbxuA/sV71yIkPm9IYp3+GvaKeT870+sn8/JOOKE/U4sJV1ppbqmuUzDfhrZUaw 8eW8IN9A1FTIuWiZED/5L83UZuQs1S7s2PjlABEBAAG0GkFXU1RPRSA8YXdzdG9l QGFtYXpvbi5jb20+iQE5BBMBCAAjBQJfFKsLAhsDBwsJCAcDAgEGFQgCCQoLBBYC AwECHgECF4AACgkQ3r3BVvWuvFJGiwf9EVmrBR77+Qe/DUeXZJYoaFr7If/fVDZl 6V3TC6p0J0Veme7uXleRUTFOjzbh+7e5sDX19HrnPquzCnzfMiqbp4lSoeUuNdOf FcpuTCQH+M+sIEIgPno4PLl0Uj2uE1o++mxmonBl/Krk+hly8hB2L/9n/vW3L7BN OMb1Ll9PmgGPbWipcT8KRdz4SUex9TXGYzjlWb3jU3uXetdaQY1M3kVKE1siRsRN YYDtpcjmwbhjpu4xm19aFqNoAHCDctEsXJA/mkU3erwIRocPyjAZE2dnlkL9ZkFZ z9DQkcIarbCnybDM5lemBbdhXJ6hezJE/b17VA0t1fY04MoEkn6oJg== =oyze -----END PGP PUBLIC KEY BLOCK-----
  2. 在保存目录中的命令提示符处awstoe.gpg,请使用以下命令导入EC2 TOE将公有密钥放入到密钥环中。

    gpg --import awstoe.gpg

    该命令返回的结果类似于下方内容:

    gpg: key F5AEBC52: public key "AWSTOE <awstoe@amazon.com>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)

    请记下该密钥值,因为下一步需要用到。在上一示例中,密钥值为 F5AEBC52

  3. 通过运行以下命令,将 key-value 替换为上一步中的值来验证指纹:

    gpg --fingerprint key-value

    该命令返回的结果类似于下方内容:

    pub 2048R/F5AEBC52 2020-07-19 Key fingerprint = F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52 uid [ unknown] AWSTOE <awstoe@amazon.com>

    此外,指纹字符串应与上述示例中所示的 F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52 相同。将返回的密钥指纹与此页上发布的指纹进行比较。它们应该相互匹配。如果它们不匹配,请不要安装EC2 TOE安装脚本,然后联系Amazon Web Services Support.

验证软件包的签名

在安装 GPG 工具、验证并导入 EC2 TOE 公有密钥以及确认公有密钥可信后,便可以验证安装脚本的签名。

验证 安装脚本签名

  1. 在命令提示符处,运行以下命令以下载应用程序二进制文件:

    curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe

    例如:

    curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe

    支持的值architecture可以amd64386, 和arm64.

  2. 在命令提示符处,运行以下命令从同一 S3 key prefix 路径下载相应应用程序二进制文件:

    curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe.sig

    例如:

    curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe.sig

    支持的值architecture可以amd64386, 和arm64.

  3. 通过在保存 awstoe.sig 和 EC2 TOE 安装文件的目录中的命令提示符处运行以下命令来验证签名。这两个文件都必须存在。

    gpg --verify ./awstoe.sig ~/awstoe

    输出应与以下内容类似:

    gpg: Signature made Mon 20 Jul 2020 08:54:55 AM IST using RSA key ID F5AEBC52 gpg: Good signature from "AWSTOE awstoe@amazon.com" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52

    如果输出包含短语 Good signature from "AWSTOE <awstoe@amazon.com>",则意味着已成功验证签名,您可以继续运行 EC2 TOE 安装脚本。

    如果输出包含短语 BAD signature,则检查是否正确执行了此过程。如果您继续获得此响应,请不要运行之前下载的安装文件,并联系Amazon Web Services Support.

下面是有关您可能看到的警告的详细信息:

  • 警告:此密钥未使用受信任签名进行认证!There is no indication that the signature belongs to the owner. 理想情况下,你可以访问Amazon并亲自接收此密钥。但是,您很可能从网站下载此密钥。在这种情况下,该网站是 Amazon 网站。

  • gpg: no ultimately trusted keys found. 这意味着您或您信任的其他人不是 “最终信任” 特定密钥。

有关更多信息,请参阅 http://www.gnupg.org

验证签名EC2 TOE在 Windows 上下载安装

本主题描述验证安装文件是否有效的建议过程。EC2 Task Orchestrator and Executor在基于 Windows 的操作系统上使用应用

无论何时从 Internet 下载应用程序,我们都建议您验证软件发布者的身份,并检查应用程序从发行以来是否已遭更改或损坏。这会保护您免于安装含有病毒或其他恶意代码的应用程序版本。

如果您在运行本主题中的步骤后确定适用于EC2 TOE应用程序已遭更改或损坏,请不要运行安装文件。否则,可联系 Amazon Web Services Support。

要验证基于 Windows 的操作系统上的已下载 awstoe 二进制文件是否有效,请确保其 Amazon Services LLC 签署人证书的指纹等于此值:

B0 和 CE EF 62 92 D4 AA D1 B0 3E 32 FB C3 42 F4 A2 C0 D0 D1 79

注意

我们目前正在推出一个新的二进制文件。如果签名者证书与新指纹不匹配,请验证指纹值是否为:

16 67 49 A7 B8 CC 5B 8A 57 1D DF 4B 7A 37 9D B1 6A 5E 65 80

要验证此值,请执行以下过程:

  1. 右键单击下载的 awstoe.exe,然后打开 Properties (属性) 窗口。

  2. 选择数字签名选项卡。

  3. 签名列表 中,选择 Amazon Services LLC,然后选择详细信息

  4. 选择常规选项卡 (如果尚未选择),然后选择查看证书

  5. 选择详细信息选择选项卡,全部中的Show (显式)如果尚未选择下拉列表。

  6. 向下滚动直至您看到指纹字段,然后选择指纹。这将在下部窗口中显示整个指纹值。

    • 如果下部窗口中的指纹值等于以下值:

      B0 和 CE EF 62 92 D4 AA D1 B0 3E 32 FB C3 42 F4 A2 C0 D0 D1 79

      然后你已下载EC2 TOE二进制文件是可信的,可以安全安装。

      注意

      我们目前正在推出一个新的二进制文件。如果签名者证书与新指纹不匹配,请验证指纹值是否为:

      16 67 49 A7 B8 CC 5B 8A 57 1D DF 4B 7A 37 9D B1 6A 5E 65 80

    • 如果下部详细信息窗口中的指纹值不等于之前的值,请不要运行。awstoe.exe.