Utiliser la signature PKCS7 pour vérifier le Documents d’identité d’instance - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser la signature PKCS7 pour vérifier le Documents d’identité d’instance

Cette rubrique explique comment vérifier le document d'identité de l'instance à l'aide de la signature PKCS7 et du certificat public AWS DSA.

Pour vérifier le document d'identité de l'instance à l'aide de la signature PKCS7 et du certificat public AWS DSA
  1. Connectez-vous à l’instance.

  2. Récupérez la signature PKCS7 à partir des métadonnées de l’instance et ajoutez-la, ainsi que l’en-tête et le pied de page requis, à un fichier nommé pkcs7. Utilisez l’une des commandes suivantes en fonction de la version IMDS utilisée par l’instance.

    IMDSv2
    $ echo "-----BEGIN PKCS7-----" >> pkcs7 \ && TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/pkcs7 >> pkcs7 \ && echo "" >> pkcs7 \ && echo "-----END PKCS7-----" >> pkcs7
    IMDSv1
    $ echo "-----BEGIN PKCS7-----" >> pkcs7 \ && curl -s http://169.254.169.254/latest/dynamic/instance-identity/pkcs7 >> pkcs7 \ && echo "" >> pkcs7 \ && echo "-----END PKCS7-----" >> pkcs7
  3. Trouvez le certificat public DSA pour votre région dans AWS certificats publics et ajoutez le contenu à un nouveau fichier nommé certificate.

  4. Utilisez la commande OpenSSL smime pour vérifier la signature. Incluez l’option -verify indiquant que la signature doit être vérifiée et l’option -noverify indiquant que le certificat n’a pas besoin d’être vérifié.

    $ openssl smime -verify -in pkcs7 -inform PEM -certfile certificate -noverify | tee document

    Si la signature est valide, le message Verification successful s’affiche.

    La commande écrit également le contenu du document d’identité d’instance dans un nouveau fichier nommé document. Vous pouvez comparer le contenu du document d’identité d’instance provenant des métadonnées d’instance avec le contenu de ce fichier à l’aide des commandes suivantes.

    $ openssl dgst -sha256 < document
    $ curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document | openssl dgst -sha256

    Si la signature ne peut pas être vérifiée, contactez AWS Support.