Регистрация Войти
Рейтинг:0
christopher westburry avatar Server

AWS BYOIP: подпись CidrAuthorizationContext не может быть проверена с помощью сертификатов X509 в записях RIR

флаг az
christopher westburry

Моя цель

Я пытаюсь добавить свой собственный префикс IPv6 /46 в Amazon AWS, следуя этой документации: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html#prepare-for-byoip

Что мне нужно в двух словах:

подписывая «1|aws|123456789012|abcd:efab:cde::/46|20230101|SHA256|RSAPSS» таким образом, чтобы Amazon мог проверить подпись с помощью моего сертификата.

Что я сделал до сих пор

Итак, я следовал руководству и поместил запись ROA, позволяющую ASN Amazon объявлять префикс /46 (из /44 IPv6 PA, назначенного моему ASN). Кроме того, я добавил сертификат в элемент descr моего объекта inet6num. Amazon, похоже, тоже его загружает.

Сертификат был создан следующим образом:

$ openssl genpkey -aes256 -алгоритм RSA -pkeyopt rsa_keygen_bits:2048 -out private-key.pem
$ openssl rsa -in private-key.pem -pubout > public-key.pem
$ openssl req -new -x509 -key private-key.pem -days 365 | tr -d "\n" > сертификат.pem

Когда я вхожу

$ aws ec2 description-byoip-cidrs --max-results 5 --region eu-central-1

Результат выглядит следующим образом:

{
    "БёипСидр": {
            "Сидр": "abcd:efab:cde::/46",
            "StatusMessage": "Подпись CidrAuthorizationContext не может быть
e проверено с помощью сертификатов X509 в записях RIR.",
            «Состояние»: «неудачное предоставление»
        }
}

Итак, я попробовал это:

$ echo "1|aws|123456789012|abcd:efab:cde::/46|20230101|SHA256|RSAPSS" > файл.txt
$ cat файл.txt | openssl dgst -sha256 -sign private-key.pem -keyform PEM > rsasign.txt
$ openssl sha256 -verify certificate.pem -signature rsasign.txt file.txt
не удалось загрузить ключевой файл

Подпись проверяется только тогда, когда я ввожу:

$ openssl sha256 -verify public-key.pem -signature rsasign.txt file.txt
Подтверждено ОК

Я считаю, что это причина сообщения «Подпись CidrAuthorizationContext не может быть e проверено с помощью сертификатов X509 в записях RIR». В конце концов, Amazon должна иметь возможность проверять подпись, используя только сертификат.

Вопрос: Как подписать текст закрытым ключом, чтобы подпись проверялась сертификатом (а не открытым ключом)? У кого-нибудь есть конкретные советы по BYOIP?

24
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.