驗證安 AWS TOE 裝下載的簽名 - EC2Image Builder
在 Linux 上驗證簽名驗證視窗上的簽名

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

驗證安 AWS TOE 裝下載的簽名

本節說明在 Linux 和 Windows 作業系統 AWS TOE 上驗證安裝下載有效性的建議程序。

在 Linux 上驗證 AWS TOE 安裝下載的簽名

本主題說明驗證 Linux 作業系統 AWS TOE 上安裝下載有效性的建議程序。

每當您從網際網路下載應用程式時,我們建議您驗證軟體發行者的身分。另外,請檢查應用程式是否在發佈後未遭到變更或損毀。如此可保護您,避免安裝到包含病毒或其他惡意程式碼的應用程式版本。

如果在執行本主題中的步驟之後,您判斷的軟體 AWS TOE 已變更或損毀,請勿執行安裝檔案。請聯絡 AWS Support 如需支援選項的詳細資訊,請參閱AWS Support

AWS TOE 對於基於 Linux 的操作系統的文件使用GnuPG,一個開源實現相當不錯的隱私(開放PGP)標準的安全數字簽名進行簽名。 GnuPG(也稱為GPG) 透過數位簽章提供驗證和完整性檢查。Amazon EC2 發布了一個公鑰和簽名,您可以用來驗證下載的 Amazon EC2 CLI 工具。如需 PGPGnuPG (GPG) 的詳細資訊,請參閱 http://www.gnupg.org

第一步是與軟體發佈者建立信任。下載軟體發佈者的公開金鑰,檢查公開金鑰的擁有者是否為聲稱的擁有者,然後將公開金鑰新增至您的 keyring。您的 keyring 是一組已知的公開金鑰。在您建立公開金鑰的真實性之後,即可用它來驗證應用程式的簽章。

安裝工GPG具

如果您的作業系統是 Linux 或 Unix,則可能已經安裝了這些GPG工具。若要測試工具是否已安裝在您的系統,請在命令提示字元中輸入 gpg。如果已安裝這些GPG工具,您會看到GPG命令提示字元。如果未安裝這些GPG工具,您會看到一則錯誤訊息,指出找不到命令。您可以從儲存庫安裝 GnuPG 套件。

若要在 Debian 系統上安裝GPG工具

  • 從終端機執行下列命令:apt-get install gnupg

若要在以紅帽為基礎的 Linux 上安裝GPG工具

  • 從終端機執行下列命令:yum install gnupg

驗證和匯入公開金鑰

此程序的下一個步驟是驗證 AWS TOE 公開金鑰,並將其新增為金鑰GPG圈中的受信任金鑰。

驗證及匯入 AWS TOE 公開金鑰

  1. 執行以下其中一項以取得我們的公有 GPG 建置金鑰的副本:

    • 請從以下位置下載金鑰:<region>https://awstoe <region>. 亞馬遜公司/資產/值得. 例如 https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/assets/awstoe.gpg

    • 從以下文字複製金鑰,然後貼到名為 awstoe.gpg 的檔案中。務必包含以下所有項目:

      -----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2

mQENBF8UqwsBCACdiRF2bkZYaFSDPFC+LIkWLwFvtUCRwAHtD8KIwTJ6LVn3fHAU
GhuK0ZH9mRrqRT2bq/xJjGsnF9VqTj2AJqndGJdDjz75YCZYM+ocZ+r5HSJaeW9i
S5dykHj7Txti2zHe0G5+W0v7v5bPi2sPHsN7XWQ7+G2AMEPTz8PjxY//I0DvMQns
Sle3l9hz6wCClz1l9LbBzTyHfSm5ucTXvNe88XX5Gmt37OCDM7vfli0Ctv8WFoLN
6jbxuA/sV71yIkPm9IYp3+GvaKeT870+sn8/JOOKE/U4sJV1ppbqmuUzDfhrZUaw
8eW8IN9A1FTIuWiZED/5L83UZuQs1S7s2PjlABEBAAG0GkFXU1RPRSA8YXdzdG9l
QGFtYXpvbi5jb20+iQE5BBMBCAAjBQJfFKsLAhsDBwsJCAcDAgEGFQgCCQoLBBYC
AwECHgECF4AACgkQ3r3BVvWuvFJGiwf9EVmrBR77+Qe/DUeXZJYoaFr7If/fVDZl
6V3TC6p0J0Veme7uXleRUTFOjzbh+7e5sDX19HrnPquzCnzfMiqbp4lSoeUuNdOf
FcpuTCQH+M+sIEIgPno4PLl0Uj2uE1o++mxmonBl/Krk+hly8hB2L/9n/vW3L7BN
OMb1Ll9PmgGPbWipcT8KRdz4SUex9TXGYzjlWb3jU3uXetdaQY1M3kVKE1siRsRN
YYDtpcjmwbhjpu4xm19aFqNoAHCDctEsXJA/mkU3erwIRocPyjAZE2dnlkL9ZkFZ
z9DQkcIarbCnybDM5lemBbdhXJ6hezJE/b17VA0t1fY04MoEkn6oJg==
=oyze
-----END PGP PUBLIC KEY BLOCK-----

  2. 在您儲存 awstoe.gpg 目錄的命令提示字元中,使用下列指令將 AWS TOE 公開金鑰匯入金鑰圈。

    gpg --import awstoe.gpg

    此命令會傳回類似以下的結果:

    gpg: key F5AEBC52: public key "AWSTOE <awstoe@amazon.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

    請記下金鑰值,在後續步驟您將會用到它。在前面的範例中,金鑰值為 F5AEBC52

  3. 執行以下命令以驗證指紋,請以三個步驟的值取代 key-value

    gpg --fingerprint key-value

    此命令會傳回類似以下的結果:

    pub   2048R/F5AEBC52 2020-07-19
      Key fingerprint = F6DD E01C 869F D639 15E5  5742 DEBD C156 F5AE BC52
uid       [ unknown] AWSTOE <awstoe@amazon.com>

    此外,如以上範例所示,指紋字串應該與 F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52 完全相同。比較傳回的金鑰指紋與此頁面發佈的金鑰指紋。它們應該相符。如果它們不匹配,請不要安裝安 AWS TOE 裝腳本,然後聯繫 AWS Support。

驗證套件的簽章

在您安裝 GPG 工具、驗證及匯入 AWS TOE 公有金鑰,以及驗證公有金鑰可信任之後,您就可以驗證安裝指令碼的簽章。

驗證 安裝指令碼簽章

  1. 在命令提示字元中,執行下列命令以下載應用程式二進位檔:

    curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe

    例如:

    curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe

    支援的值architecture可以是amd64386、和arm64

  2. 在命令提示字元中,執行下列命令,從相同的 S3 key prefix 路徑下載對應應用程式二進位檔案的簽章檔案:

    curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe.sig

    例如:

    curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe.sig

    支援的值architecture可以是amd64386、和arm64

  3. 在儲存目錄awstoe.sig和 AWS TOE 安裝檔案的命令提示字元中執行下列命令,以驗證簽章。兩個檔案都必須存在。

    gpg --verify ./awstoe.sig ~/awstoe

    輸出應類似以下所示:

    gpg: Signature made Mon 20 Jul 2020 08:54:55 AM IST using RSA key ID F5AEBC52
gpg: Good signature from "AWSTOE awstoe@amazon.com" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52

    如果輸出包含 Good signature from "AWSTOE <awstoe@amazon.com>" 片語,表示簽章已成功驗證,您可以繼續執行 AWS TOE 安裝指令碼。

    如果輸出包含 BAD signature 片語,請檢查您是否已正確執行程序。如果您繼續收到此回應,請勿執行先前下載的安裝檔案,然後連絡 AWS Support。

以下是您可能會看到的警告的詳細資訊:

  • WARNING:此密鑰未通過受信任的簽名進行認證!沒有跡象表明簽名屬於擁有者。理想情況下,您可以親自訪問 AWS 辦公室並收到鑰匙。但是,您很可能會從網站下載它。在這種情況下,該網站是一個 AWS 網站。

  • gpg:沒有發現最終信任的金鑰。這意味著特定密鑰不是由您或您信任的其他人「最終信任」。

如需詳細資訊,請參閱 http://www.gnupg.org

在 Windows 上驗證 AWS TOE 安裝下載的簽名

本主題說明在 Windows 作業系統上驗證 AWS 任務協調器和執行器 應用程式之安裝檔案有效性的建議程序。

當您從網際網路下載應用程式時,建議您驗證軟體發佈者的身分,並檢查應用程式在發佈之後未遭更改或損毀。如此可保護您,避免安裝到包含病毒或其他惡意程式碼的應用程式版本。

如果在執行本主題中的步驟之後,您判斷 AWS TOE 應用程式的軟體已變更或損毀,請勿執行安裝檔案。相反,請聯繫 AWS Support。

若要驗證 Windows 作業系統上已下載 awstoe 二進位檔的有效性,請確定其 Amazon 服務LLC簽署者憑證的指紋等於此值:

F8 11 電子 F0 4A A 91 E3 79 21 BA 6B FC 自動對焦 F8 12 12 D7

注意

在新二進位檔的推出視窗期間,您的簽署者憑證可能不符合新的指紋。如果您的簽署者憑證不相符,請確認指紋值為:

5B 77 F4 F0 F0 C3 7A 8B 89 D9 A7 八樓 54 B6 85 11 CE 9E A3 BF 17

若要驗證這個值,請執行以下程序:

  1. 在下載的 awstoe.exe 上按一下滑鼠右鍵,然後開啟 Properties (屬性) 視窗。

  2. 選擇 數位簽章 索引標籤。

  3. 從「簽名清單」中選擇「Amazon 服務」LLC,然後選擇「詳細資料」。

  4. 選擇 General (一般) 索引標籤 (如果尚未選取),然後選擇 View Certificate (檢視憑證)

  5. 選擇 [詳細資料] 索引標籤,然後在 [顯示] 下拉式清單中選擇 [全部] (如果尚未選取)。

  6. 向下捲動到看見 Thumbprint (指紋) 欄位為止,然後選擇 Thumbprint (指紋)。這會在下方的視窗中顯示整個指紋值。

    • 如果下方視窗中的指紋值與以下值完全相同:

      F8 11 電子 F0 4A A 91 E3 79 21 BA 6B FC 自動對焦 F8 12 12 D7

      那麼你下載的 AWS TOE 二進製文件是真實的,可以安全地安裝。

      注意

      在新二進位檔的推出視窗期間,您的簽署者憑證可能不符合新的指紋。如果您的簽署者憑證不相符,請確認指紋值為:

      5B 77 F4 F0 F0 C3 7A 8B 89 D9 A7 八樓 54 B6 85 11 CE 9E A3 BF 17

    • 如果下方詳細資料視窗中的指紋值與先前的值不同,請勿執行awstoe.exe