Usar a assinatura RSA-2048 para verificar o documento de identidade da instância
Este tópico explica como verificar o documento de identidade da instância usando a assinatura RSA-2048 e o certificado público RSA-2048 da AWS.
Para verificar o documento de identidade da instância usando a assinatura RSA-2048 e o certificado público RSA-2048 da AWS
-
Conecte-se à instância.
-
Recupere a assinatura RSA-2048 dos metadados da instância e adicione-a a um novo arquivo chamado
rsa2048
junto com o cabeçalho e rodapé necessários. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância. -
Encontre o certificado público RSA-2048 para a sua região em Certificados públicos da AWS e adicione o conteúdo a um novo arquivo denominado
certificate
. -
Use o comando OpenSSL smime para verificar a assinatura. Inclua a opção
-verify
para indicar que a assinatura precisa ser verificada, e a opção-noverify
para indicar que o certificado não precisa ser verificado.$
openssl smime -verify -inrsa2048
-inform PEM -certfilecertificate
-noverify | tee documentSe a assinatura for válida, a mensagem
Verification successful
será exibida. Se não for possível verificar a assinatura, entre em contato com o AWS Support.
Pré-requisitos
Este procedimento exige a classe System.Security
Microsoft .NET Core. Para adicionar a classe à sessão do PowerShell, execute o comando a seguir.
PS C:\>
Add-Type -AssemblyName System.Security
nota
O comando adiciona a classe somente à sessão atual do PowerShell. Se você iniciar uma nova sessão, deverá executar o comando novamente.
Para verificar o documento de identidade da instância usando a assinatura RSA-2048 e o certificado público RSA-2048 da AWS
-
Conecte-se à instância.
-
Recupere a assinatura RSA-2048 dos metadados da instância, converta-a em uma matriz de bytes e adicione-a a uma variável chamada
$Signature
. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância. -
Recupere o documento de identidade da instância de texto simples dos metadados da instância, converta-o em uma matriz de bytes e adicione-o a uma variável chamada
$Document
. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância. -
Encontre o certificado público RSA-2048 para a sua região em Certificados públicos da AWS e adicione o conteúdo a um novo arquivo denominado
certificate.pem
. -
Extraia o certificado do arquivo de certificado e armazene-o em uma variável chamada
$Store
.PS C:\>
$Store
= [Security.Cryptography.X509Certificates.X509Certificate2Collection]::new([Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Pathcertificate.pem
))) -
Verifique a assinatura.
PS C:\>
$SignatureDocument
= [Security.Cryptography.Pkcs.SignedCms]::new()PS C:\>
$SignatureDocument
.Decode($Signature
)PS C:\>
$SignatureDocument
.CheckSignature($Store
, $true)Se a assinatura for válida, o comando não retornará nenhuma saída. Se não for possível verificar a assinatura, o comando retornará
Exception calling "CheckSignature" with "2" argument(s): "Cannot find the original signer
. Se não for possível verificar a assinatura, entre em contato com o AWS Support. -
Valide o conteúdo do documento de identidade da instância.
PS C:\>
[Linq.Enumerable]::SequenceEqual($SignatureDocument
.ContentInfo.Content,$Document
)Se o conteúdo do documento de identidade da instância for válido, o comando retornará
True
. Se não for possível validar o documento de identidade da instância, entre em contato com o AWS Support.