验证 Amazon Backint Agent 及 Amazon Backint Agent for SAP HANA 安装程序的签名 - SAP HANA on Amazon
验证签名
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

验证 Amazon Backint Agent 及 Amazon Backint Agent for SAP HANA 安装程序的签名

Amazon(aws-backint-agent.tar.gz)和 Amazon Backint 安装程序(install-aws-backint-agent)的源文件支持签名验证。您可以使用公有密钥验证下载的源文件和 Amazon Backint 安装程序是否为原始的且未经过修改。您可以在您的 /tmp 目录或下载了安装程序的任何其他位置找到 Amazon Backint 安装程序。您可以在 <installation directory>/aws-backint-agent/package/ 下找到 Amazon Backint Agent 的源文件(aws-backint-agent.tar.gz)。

验证签名

自动签名验证

要在代理安装期间启用自动签名验证,请参阅使用 Amazon Backint 安装程序安装 Amazon Backint Agent – 交互模式(步骤 6k)中的参数描述。

在 Linux 服务器上验证 Amazon Backint Agent 程序包

  1. 下载公有密钥。

    对于中国(北京)区域,请使用以下命令。

    shell$ wget https://awssap-backint-agent-cn-north-1.s3.cn-north-1.amazonaws.com.cn/binary/public-key/aws-backint-agent.gpg

    对于中国(宁夏)区域,请使用以下命令。

    shell$ wget https://awssap-backint-agent-cn-northwest-1.s3.cn-northwest-1.amazonaws.com.cn/binary/public-key/aws-backint-agent.gpg

  2. 将公有密钥导入到您的密钥环中。

    shell$ gpg --import aws-backint-agent.gpg
gpg: key 1E65925B: public key "AWS Backint Agent" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)

    请记下密钥值,因为需要在下一步中使用该值。在上一示例中,键值为 1E65925B

  3. 通过运行以下命令验证指纹。

    shell$ gpg --fingerprint 1E65925B
pub 2048R/1E65925B 2020-03-18
Key fingerprint = BD35 7A5F 1AE9 38A0 213A 82A8 80D8 5C5E 1E65 925B
uid [ unknown] AWS Backint Agent

    指纹应符合以下情况:

    BD35 7A5F 1AE9 38A0 213A 82A8 80D8 5C5E 1E65 925B

    如果指纹字符串不匹配,则不要安装代理。请联系 Amazon Web Services。

    在验证指纹后,您可以使用该指纹验证 Amazon Backint Agent 二进制文件的签名。

  4. 下载源文件和安装程序的签名文件。

    对于中国(北京)区域,请使用以下命令。

    shell$ wget https://awssap-backint-agent-cn-north-1.s3.cn-north-1.amazonaws.com.cn/binary/latest/aws-backint-agent.sig

shell$ wget https://awssap-backint-agent-cn-north-1.s3.cn-north-1.amazonaws.com.cn/binary/latest/install-aws-backint-agent.sig

    对于中国(宁夏)区域,请使用以下命令。

    shell$ wget https://awssap-backint-agent-cn-northwest-1.s3.cn-northwest-1.amazonaws.com.cn/binary/latest/aws-backint-agent.sig

shell$ wget https://awssap-backint-agent-cn-northwest-1.s3.cn-northwest-1.amazonaws.com.cn/binary/latest/install-aws-backint-agent.sig

  5. 要验证签名,请对 gpg --verify 源文件和 aws-backint-agent.tar.gz 安装程序运行 install-aws-backint-agent

    shell$ gpg --verify aws-backint-agent.sig aws-backint-agent.tar.gz
gpg: Signature made Fri 08 May 2020 12:24:48 AM UTC using RSA key ID 1E65925B
gpg: Good signature from "AWS Backint Agent" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: BD35 7A5F 1AE9 38A0 213A  82A8 80D8 5C5E 1E65 925B

shell$ gpg --verify install-aws-backint-agent.sig install-aws-backint-agent
gpg: Signature made Fri 08 May 2020 12:15:40 AM UTC using RSA key ID 1E65925B
 gpg: Good signature from "AWS Backint Agent" [unknown]
 gpg: WARNING: This key is not certified with a trusted signature!
 gpg: There is no indication that the signature belongs to the owner.
 Primary key fingerprint: BD35 7A5F 1AE9 38A0 213A  82A8 80D8 5C5E 1E65 925B

    如果输出包含短语 BAD signature,则检查是否正确执行了此过程。如果您继续获得该响应,请与 Amazon Web Services 联系,并避免使用已下载的文件。

    注意

    只有当您或您信任的某个人对密钥进行了签名,密钥才是可信的。如果您收到有关信任的警告,这并不意味着签名无效。相反,这意味着您尚未验证公有密钥。