本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本節說明在 Linux、macOS 和 Windows 作業系統 AWS TOE 上驗證 的安裝下載有效性的建議程序。
驗證 Linux 或 macOS 上安裝下載的 AWS TOE 簽章
本主題說明在 Linux 作業系統或 macOS 作業系統 AWS TOE 上驗證安裝下載有效性的建議程序。
每當您從網際網路下載應用程式時,我們建議您驗證軟體發佈者的身分。此外,請檢查應用程式自發佈以來是否遭到變更或損毀。如此可保護您,避免安裝到包含病毒或其他惡意程式碼的應用程式版本。
如果執行本主題中的步驟後,您判斷 AWS TOE 應用程式的軟體遭到修改或損毀,請勿執行安裝檔案。反之,請聯絡 支援 如需支援選項的詳細資訊,請參閱支援
AWS TOE Linux 型和 macOS 作業系統的檔案使用 進行簽署GnuPG,這是 Pretty Good Privacy (OpenPGP) 標準用於安全數位簽章的開放原始碼實作。 GnuPG(也稱為 GPG) 透過數位簽章提供身分驗證和完整性檢查。Amazon EC2 會發佈公有金鑰和簽章,供您用來驗證下載的 Amazon EC2 CLI 工具。如需 PGP 和 GnuPG (GPG) 的詳細資訊,請參閱 http://www.gnupg.org
第一步是與軟體發佈者建立信任。下載軟體發佈者的公開金鑰,檢查公開金鑰的擁有者是否為聲稱的擁有者,然後將公開金鑰新增至您的 keyring。您的 keyring 是一組已知的公開金鑰。在您建立公開金鑰的真實性之後,即可用它來驗證應用程式的簽章。
安裝 GPG 工具
如果您的作業系統是 Linux、Unix 或 macOS,則可能已安裝 GPG 工具。若要測試工具是否已安裝在您的系統,請在命令提示字元中輸入 gpg。如果 GPG 工具已安裝,您會看到 GPG 命令提示字元。如果未安裝 GPG 工具,您會看到錯誤訊息,指出找不到命令。您可以從儲存庫安裝 GnuPG 套件。
若要安裝 GPG 工具,請選取符合您執行個體的作業系統。
從終端機執行下列命令:
apt-get install gnupg
驗證和匯入公開金鑰
程序的下一個步驟是驗證 AWS TOE 公有金鑰,並將其新增為 GPG keyring 中的信任金鑰。
驗證和匯入 AWS TOE 公有金鑰
-
執行以下其中一項以取得我們的公有
GPG建置金鑰的副本:-
從 下載金鑰
https://awstoe-
<region>.s3.<region>.amazonaws.com/assets/awstoe.gpg. 例如:https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/assets/awstoe.gpg。 -
從以下文字複製金鑰,然後貼到名為
awstoe.gpg的檔案中。務必包含以下所有項目:-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v2 mQENBF8UqwsBCACdiRF2bkZYaFSDPFC+LIkWLwFvtUCRwAHtD8KIwTJ6LVn3fHAU GhuK0ZH9mRrqRT2bq/xJjGsnF9VqTj2AJqndGJdDjz75YCZYM+ocZ+r5HSJaeW9i S5dykHj7Txti2zHe0G5+W0v7v5bPi2sPHsN7XWQ7+G2AMEPTz8PjxY//I0DvMQns Sle3l9hz6wCClz1l9LbBzTyHfSm5ucTXvNe88XX5Gmt37OCDM7vfli0Ctv8WFoLN 6jbxuA/sV71yIkPm9IYp3+GvaKeT870+sn8/JOOKE/U4sJV1ppbqmuUzDfhrZUaw 8eW8IN9A1FTIuWiZED/5L83UZuQs1S7s2PjlABEBAAG0GkFXU1RPRSA8YXdzdG9l QGFtYXpvbi5jb20+iQE5BBMBCAAjBQJfFKsLAhsDBwsJCAcDAgEGFQgCCQoLBBYC AwECHgECF4AACgkQ3r3BVvWuvFJGiwf9EVmrBR77+Qe/DUeXZJYoaFr7If/fVDZl 6V3TC6p0J0Veme7uXleRUTFOjzbh+7e5sDX19HrnPquzCnzfMiqbp4lSoeUuNdOf FcpuTCQH+M+sIEIgPno4PLl0Uj2uE1o++mxmonBl/Krk+hly8hB2L/9n/vW3L7BN OMb1Ll9PmgGPbWipcT8KRdz4SUex9TXGYzjlWb3jU3uXetdaQY1M3kVKE1siRsRN YYDtpcjmwbhjpu4xm19aFqNoAHCDctEsXJA/mkU3erwIRocPyjAZE2dnlkL9ZkFZ z9DQkcIarbCnybDM5lemBbdhXJ6hezJE/b17VA0t1fY04MoEkn6oJg== =oyze -----END PGP PUBLIC KEY BLOCK-----
-
-
在您儲存 awstoe.gpg 的目錄中的命令提示中,使用下列命令將 AWS TOE 公有金鑰匯入 keyring。
gpg --import awstoe.gpg此命令會傳回類似以下的結果:
gpg: key F5AEBC52: public key "AWSTOE <awstoe@amazon.com>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)請記下金鑰值,在後續步驟您將會用到它。在前面的範例中,金鑰值為
F5AEBC52。 -
執行以下命令以驗證指紋,請以三個步驟的值取代 key-value:
gpg --fingerprintkey-value此命令會傳回類似以下的結果:
pub 2048R/F5AEBC52 2020-07-19 Key fingerprint = F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52 uid [ unknown] AWSTOE <awstoe@amazon.com>此外,如以上範例所示,指紋字串應該與
F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52完全相同。比較傳回的金鑰指紋與此頁面發佈的金鑰指紋。它們應該相符。如果不相符,請勿安裝 AWS TOE 安裝指令碼並聯絡 支援。
驗證套件的簽章
在您安裝 GPG 工具、驗證及匯入 AWS TOE 公有金鑰,以及驗證公有金鑰可信任之後,您就可以驗證安裝指令碼的簽章。
驗證 安裝指令碼簽章
-
在命令提示中,執行下列命令來下載應用程式二進位檔:
curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe例如:
curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe支援的 值
architecture可以是amd64、386和arm64。 -
在命令提示中,執行下列命令,從相同的 S3 金鑰字首路徑下載對應應用程式二進位檔的簽章檔案:
curl -O https://awstoe-<region>.s3.<region>.amazonaws.com/latest/linux/<architecture>/awstoe.sig例如:
curl -O https://awstoe-us-east-1.s3.us-east-1.amazonaws.com/latest/linux/amd64/awstoe.sig支援的 值
architecture可以是amd64、386和arm64。 -
在儲存的 目錄中的命令提示字元
awstoe.sig和 AWS TOE 安裝檔案執行下列命令,以驗證簽章。兩個檔案都必須存在。gpg --verify ./awstoe.sig ~/awstoe輸出應類似以下所示:
gpg: Signature made Mon 20 Jul 2020 08:54:55 AM IST using RSA key ID F5AEBC52 gpg: Good signature from "AWSTOE awstoe@amazon.com" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: F6DD E01C 869F D639 15E5 5742 DEBD C156 F5AE BC52如果輸出包含
Good signature from "AWSTOE <awstoe@amazon.com>"片語,表示簽章已成功驗證,您可以繼續執行 AWS TOE 安裝指令碼。如果輸出包含
BAD signature片語,請檢查您是否已正確執行程序。如果您繼續取得此回應,請勿執行您先前下載的安裝檔案,並聯絡 支援。
以下是您可能會看到的警告的詳細資訊:
-
警告:此金鑰未通過信任簽章的認證!沒有指示簽章屬於擁有者。理想情況下,您會親自造訪 AWS 辦公室並收到金鑰。不過,您很可能會從網站下載。在這種情況下,網站是 AWS 網站。
-
gpg:沒有發現最終信任的金鑰。這表示您或您信任的其他人不會「最終信任」特定金鑰。
如需詳細資訊,請參閱 http://www.gnupg.org
驗證 Windows AWS TOE 上安裝下載的簽章
本主題說明在 Windows 作業系統上驗證 AWS 任務協調器和執行器 應用程式安裝檔案有效性的建議程序。
當您從網際網路下載應用程式時,建議您驗證軟體發佈者的身分,並檢查應用程式在發佈之後未遭更改或損毀。如此可保護您,避免安裝到包含病毒或其他惡意程式碼的應用程式版本。
如果執行本主題中的步驟後,您判斷 AWS TOE 應用程式的軟體遭到修改或損毀,請勿執行安裝檔案。請改為聯絡 支援。
若要在 Windows 作業系統上驗證下載的 awstoe 二進位檔的有效性,請確定其 Amazon Services LLC 簽署者憑證的指紋等於此值:
BA 81 25 EE AC 64 2E A9 F3 C5 93 CA 6D 3E B7 93 7D 68 75 74
注意
在新二進位檔的推展時段期間,您的簽署者憑證可能不符合新的指紋。如果您的簽署者憑證不相符,請確認指紋值為:
F8 83 11 EE F0 4A A2 91 E3 79 21 BA 6B FC AF F8 19 92 12 D7
若要驗證這個值,請執行以下程序:
-
在下載的
awstoe.exe上按一下滑鼠右鍵,然後開啟 Properties (屬性) 視窗。 -
選擇 數位簽章 索引標籤。
-
從 Signature List (簽章清單) 中選擇 Amazon Services LLC,然後選擇 Details (詳細資訊)。
-
選擇 General (一般) 索引標籤 (如果尚未選取),然後選擇 View Certificate (檢視憑證)。
-
選擇詳細資訊索引標籤,如果尚未選取,請在顯示下拉式清單中選擇全部。
-
向下捲動到看見 Thumbprint (指紋) 欄位為止,然後選擇 Thumbprint (指紋)。這會在下方的視窗中顯示整個指紋值。
-
如果下方視窗中的指紋值與以下值完全相同:
BA 81 25 EE AC 64 2E A9 F3 C5 93 CA 6D 3E B7 93 7D 68 75 74
然後,您下載 AWS TOE 的二進位檔是真實的,可以安全地安裝。
-
如果下方詳細資訊視窗中的指紋值與先前的值不同,請勿執行
awstoe.exe。
-
