Verifizieren der Signatur von SSM Agent

Die AWS Systems Manager Agent (SSM Agent) deb- und rpm-Installationspakete für Linux-Instances sind kryptografisch signiert. Sie können einen öffentlichen Schlüssel verwenden, um sicherzustellen, dass das Paket des Agenten original und unverändert ist. Wenn die Dateien beschädigt oder verändert werden, schlägt die Verifizierung fehl. Sie können die Signatur des Installer-Pakets entweder mit RPM oder GPG überprüfen. Die folgenden Informationen sind für SSM Agent-Versionen 3.1.1141.0 oder höher.

Wichtig

Der öffentliche Schlüssel, der später in diesem Thema gezeigt wird, läuft am 17.02.2025 (17. Februar 2025) ab. Systems Manager wird in diesem Thema einen neuen öffentlichen Schlüssel veröffentlichen, bevor der alte abläuft. Wir empfehlen Ihnen, den RSS-Feed für dieses Thema zu abonnieren, um eine Benachrichtigung zu erhalten, wenn der neue Schlüssel verfügbar ist.

Die richtige Signaturdatei für die Architektur und das Betriebssystem Ihrer Instance finden Sie in der folgenden Tabelle.

region steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

Architektur	Betriebssystem	URL der Signaturdatei	Agent-Download-Dateiname
x86_64	AlmaLinux, Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, CentOS Stream,,,RHEL, Oracle Linux Rocky Linux SLES	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`
x86_64	Debian Server, Ubuntu Server	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_amd64/amazon-ssm-agent.deb.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb.sig`	`amazon-ssm-agent.deb`
x86	Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_386/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_386/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`
x86	Ubuntu Server	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/debian_386/amazon-ssm-agent.deb.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_386/amazon-ssm-agent.deb.sig`	`amazon-ssm-agent.deb`
ARM64	Amazon Linux 1, Amazon Linux 2, Amazon Linux 2023, CentOS, RHEL	`https://s3.region.amazonaws.com/amazon-ssm-region/latest/linux_arm64/amazon-ssm-agent.rpm.sig` `https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm.sig`	`amazon-ssm-agent.rpm`

Bevor Sie beginnen

Bevor Sie die Signatur von überprüfen könnenSSM Agent, müssen Sie das entsprechende Agentenpaket für Ihr Betriebssystem herunterladen. z. B. https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm. Weitere Informationen zum Herunterladen von SSM Agent Paketen finden Sie unterManuelles Installieren und Deinstallieren SSM Agent auf EC2-Instances für Linux.

GPG

So überprüfen Sie das SSM Agent-Paket auf einem Linux-Server

Kopieren Sie den folgenden Schlüssel und speichern Sie ihn in einer Datei mit dem Namen amazon-ssm-agent.gpg.


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)

mQENBGTtIoIBCAD2M1aoGIE0FXynAHM/jtuvdAVVaX3Q4ZejTqrX+Jq8ElAMhxyO
GzHu2CDtCYxtVxXK3unptLVt2kGgJwNbhYC393jDeZx5dCda4Nk2YXX1UK3P461i
axuuXRzMYvfM4RZn+7bJTu635tA07q9Xm6MGD4TCTvsjBfViOxbrxOg5ozWbJdSw
fSR8MwUrRfmFpAefRlYfCEuZ8FHywa9U6jLeWt2O/kqrZliJOAGjGzXtB7EZkqKb
faCCxikjjvhF1awdEqSK4DQorC/OvQc4I5kP5y2CJbtXvXO73QH2yE75JMDIIx9x
rOsIRUoSfK3UrWaOVuAnEEn5ueKzZNqGG1J1ABEBAAG0J1NTTSBBZ2VudCA8c3Nt
LWFnZW50LXNpZ25lckBhbWF6b24uY29tPokBPwQTAQIAKQUCZO0iggIbLwUJAsaY
gAcLCQgHAwIBBhUIAgkKCwQWAgMBAh4BAheAAAoJELwfSVyX3QTt+icH/A//tJsW
I+7Ay8FGJh8dJPNy++HIBjVSFdGNJFWNbw1Z8uZcazHEcUCH3FhW4CLQLTZ3OVPz
qvFwzDtRDVIN/Y9EGDhLMFvimrE+/z4olWsJ5DANf6BnX8I5UNIcRt5d8SWH1BEJ
2FWIBZFgKyTDI6XzRC5x4ahtgpOVAGeeKDehs+wh6Ga4W0/K4GsviP1Kyr+Ic2br
NAIq0q0IHyN1q9zam3Y0+jKwEuNmTj+Bjyzshyv/X8S0JWWoXJhkexkOvWeBYNNt
5wI4QcSteyfIzp6KlQF8q11Hzz9D9WaPfcBEYyhq7vLEARobkbQMBzpkmaZua241
0RaWG50HRvrgm4aJAhwEEAECAAYFAmTtIoMACgkQfdCXo9rX9fwwqBAAzkTgYJ38
sWgxpn7Ux/81F2BWR1sVkmP79i++fXyJlKI8xtcJFQZhzeUos69KBUCy7mgx5bYU
P7NA5o9DUbwz/QS0i1Cqm4+jtFlX0MXe4FikXcqfDPnnzN8mVB2H+fa43iHR1PuH
GgUWuNdxzSoIYRmLZXWmeN5YXPcmixlhLzcE2TOQn1mOKcu2fKdLtBQ8KiEkmjiu
naoLxnUcyk1zMhaha+LzEkQdOyasix0ggylN2ViWVnlmfy0niuXDxW0qZWPdLStF
OODiX3iqGmkH3rDfy6nvxxBR4GIs+MGD72fpWzzrINDgkGI2i2t1+0AX/mps3aTy
+ftlgrim8stYWB58XXDAb0vad06sNye5/zDzfr0I9HupJrTzFhaYJQjWPaSlINto
LDJnBXohiUIPRYRcy/k012oFHDWZHT3H6CyjK9UD5UlxA9H7dsJurANs6FOVRe+7
34uJyxDZ/W7zLG4AVG0zxibrUSoaJxwcOjVPVsQAlrwG/GTs7tcAccsJqbJ1Py/w
9AgJl8VU2qc8POsHNXk348gjP7C8PDnGMpZFzr9f5INctRushpiv7onX+aWJVX7T
n2uX/TP3LCyH/MsrNJrJOQnMYFRLQitciP0E+F+eA3v9CY6mDuyb8JSx5HuGGUsG
S4bKBOcA8vimEpwPoT8CE7fdsZ3Qkwdu+pw=
=zr5w
-----END PGP PUBLIC KEY BLOCK-----

Importieren Sie den öffentlichen Schlüssel in Ihren Schlüsselbund und notieren Sie den zurückgegebenen Schlüsselwert.
```
gpg --import amazon-ssm-agent.gpg
```
Überprüfen Sie den Fingerprint Ersetzen Sie key-value durch den Wert des Schlüssels aus dem vorherigen Schritt. Es wird empfohlen, GPG zu verwenden, um den Fingerprint zu überprüfen, auch wenn Sie RPM verwenden, um das Installer-Paket zu überprüfen.
```
gpg --fingerprint key-value
```
Dieser Befehl gibt etwa die folgende Ausgabe zurück.
```
pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>
```
Der Fingerabdruck sollte wie folgt aussehen.

DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

Wenn die Fingerabdruck-Zeichenfolge nicht übereinstimmt, installieren Sie den Agent nicht. Kontakt AWS Support.
Laden Sie die Signaturdatei entsprechend der Architektur und dem Betriebssystem Ihrer Instance herunter.
Überprüfen Sie die Installer-Paketsignatur. Achten Sie darauf, den Signaturdateinamen und agent-download-filenamedurch die Werte zu ersetzen, die Sie beim Herunterladen der Signaturdatei und des Agenten angegeben haben, wie in der Tabelle weiter oben in diesem Thema aufgeführt.
```
gpg --verify signature-filename agent-download-filename
```
Zum Beispiel für die x86_64-Architektur auf Amazon Linux 2:
```
gpg --verify amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
Dieser Befehl gibt etwa die folgende Ausgabe zurück.
```
gpg: Signature made Thu 31 Aug 2023 07:46:49 PM UTC using RSA key ID 97DD04ED
gpg: Good signature from "SSM Agent <ssm-agent-signer@amazon.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:     There is no indication that the signature belongs to the owner.
Primary key fingerprint: DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED
```
Wenn die Ausgabe die Bezeichnung BAD signatureenthält, überprüfen Sie, ob Sie das Verfahren korrekt durchgeführt haben. Wenn Sie weiterhin diese Antwort erhalten, wenden Sie sich an den Agenten AWS Support und installieren Sie ihn nicht. Die Vertrauens-Warnmeldung bedeutet nicht, dass die Signatur ungültig ist, sondern nur, dass Sie den öffentlichen Schlüssel nicht überprüft haben. Beachten Sie die Warnung zu vertrauenswürdigen Inhalten. Wenn die Ausgabe die Phrase Can't check signature: No public key enthält, überprüfen Sie, ob Sie SSM Agent Version 3.1.1141.0 oder höher heruntergeladen haben.

RPM

So überprüfen Sie das SSM Agent-Paket auf einem Linux-Server

Kopieren Sie den folgenden Schlüssel und speichern Sie ihn in einer Datei mit dem Namen amazon-ssm-agent.gpg.


-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=zr5w
-----END PGP PUBLIC KEY BLOCK-----

Importieren Sie den öffentlichen Schlüssel in Ihren Schlüsselbund und notieren Sie den zurückgegebenen Schlüsselwert.
```
rpm --import amazon-ssm-agent.gpg
```
Überprüfen Sie den Fingerprint Ersetzen Sie key-value durch den Wert des Schlüssels aus dem vorherigen Schritt. Es wird empfohlen, GPG zu verwenden, um den Fingerprint zu überprüfen, auch wenn Sie RPM verwenden, um das Installer-Paket zu überprüfen.
```
gpg --fingerprint key-value
```
Dieser Befehl gibt etwa die folgende Ausgabe zurück.
```
pub   2048R/97DD04ED 2023-08-28 [expires: 2025-02-17]
      Key fingerprint = DE92 C7DA 3E56 E923 31D6  2A36 BC1F 495C 97DD 04ED
uid                  SSM Agent <ssm-agent-signer@amazon.com>
```
Der Fingerabdruck sollte wie folgt aussehen.

DE92 C7DA 3E56 E923 31D6 2A36 BC1F 495C 97DD 04ED

Wenn die Fingerabdruck-Zeichenfolge nicht übereinstimmt, installieren Sie den Agent nicht. Kontakt AWS Support.
Überprüfen Sie die Installer-Paketsignatur. Achten Sie darauf, den Signaturdateinamen und agent-download-filenamedurch die Werte zu ersetzen, die Sie beim Herunterladen der Signaturdatei und des Agenten angegeben haben, wie in der Tabelle weiter oben in diesem Thema aufgeführt.
```
rpm --checksig signature-filename agent-download-filename
```
Zum Beispiel für die x86_64-Architektur auf Amazon Linux 2:
```
rpm --checksig amazon-ssm-agent.rpm.sig amazon-ssm-agent.rpm
```
Dieser Befehl gibt etwa die folgende Ausgabe zurück.
```
amazon-ssm-agent-3.1.1141.0-1.amzn2.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
```
Wenn pgp in der Ausgabe fehlt und Sie den öffentlichen Schlüssel importiert haben, ist der Agent nicht signiert. Wenn die Ausgabe die Phrase NOT OK (MISSING KEYS: (MD5) key-id) enthält, überprüfen Sie, ob Sie das Verfahren korrekt durchgeführt haben, und überprüfen Sie, ob Sie SSM Agent Version 3.1.1141.0 oder höher heruntergeladen haben. Wenn Sie weiterhin diese Antwort erhalten, wenden Sie sich an den Agenten AWS Support und installieren Sie ihn nicht.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Arbeiten mit SSM Agent auf EC2-Instances für Linux

Manuelles Installieren und Deinstallieren SSM Agent auf EC2-Instances für Linux