Bekannte Probleme beim Key Storage Provider (KSP) für AWS CloudHSM - AWS CloudHSM
Problem: Die Überprüfung eines Zertifikatsspeichers schlägt fehlProblem: Inkonsistenz der Containernamen im Zertifikatsspeicher bei Verwendung des SDK3 Kompatibilitätsmodus für Client SDK 5

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bekannte Probleme beim Key Storage Provider (KSP) für AWS CloudHSM

Dies sind die bekannten Probleme für Key Storage Provider (KSP) für. AWS CloudHSM

Problem: Die Überprüfung eines Zertifikatsspeichers schlägt fehl

Wenn Sie die Client-SDK-Versionen 5.14 und 5.15 verwenden, wird beim Aufrufen der certutil -store my CERTIFICATE_SERIAL_NUMBER folgende Fehler ausgegeben: 

ERROR: Could not verify certificate public key against private key

  • Auswirkung: Sie können einen Zertifikatsspeicher, der mit certutil dem Client-SDK 5 erstellt wurde, nicht zur Validierung verwenden.

  • Umgehung: Überprüfen Sie das mit dem Zertifikat verknüpfte key pair, indem Sie eine Datei mit dem privaten Schlüssel signieren und die Signatur mit dem öffentlichen Schlüssel überprüfen. Dies kann mit Microsoft erfolgen, SignTool indem Sie die hier angegebenen Schritte ausführen.

  • Status der Lösung: Wir arbeiten daran, Unterstützung für die Überprüfung von Zertifikaten mit certutil hinzuzufügen. Diese Fehlerbehebung wird auf der Seite des Versionsverlaufs bekanntgegeben, sobald sie verfügbar ist.

Problem: Inkonsistenz der Containernamen im Zertifikatsspeicher bei Verwendung des SDK3 Kompatibilitätsmodus für Client SDK 5

Wenn Sie den certutil -store my CERTIFICATE_SERIAL_NUMBER Befehl zum Anzeigen von Zertifikaten verwenden, deren Schlüsselreferenzdateien mit dem Befehl generate-file in AWS CLI 5.16.0 generiert wurden, tritt der folgende Fehler auf: 

ERROR: Container name inconsistent: CONTAINER_NAME

Dieser Fehler tritt auf, weil es eine Diskrepanz zwischen dem im Zertifikat gespeicherten Container-Namen und dem von der CloudHSM-CLI generierten Schlüsselreferenzdatei gibt.

  • Auswirkung: Trotz dieses Fehlers sind die Zertifikate und die zugehörigen Schlüssel weiterhin voll funktionsfähig. Alle Anwendungen, die diese Zertifikate verwenden, funktionieren weiterhin normal.

  • Problemumgehung: Um diesen Fehler zu beheben, benennen Sie den Dateinamen der Schlüsselreferenz in Simple oder Unique Container Name um. Sehen Sie sich die folgende Beispielausgabe des Befehls an certutil -store my 

    Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US 
Non-root Certificate
Cert Hash(sha1): 1add52
Key Container = 7e3c-b2f5
Simple container name: tq-3daacd89
Unique container name: tq-3daacd89
ERROR: Container name inconsistent: 7e3c-b2f5

    Standardmäßig werden die wichtigsten Referenzdateien in gespeichert C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition

    1. Benennen Sie die Schlüsselreferenzdatei in den einfachen Container-Namen um.

    2. Reparieren Sie den Zertifikatsspeicher mit dem neuen Namen des Schlüsselcontainers. Weitere Informationen finden Sie in den Schritten 12 bis 14 unter KSP-Migration.

  • Lösungsstatus: Dieses Problem wurde in der Client-SDK-Version 5.16.1 behoben. Um dieses Problem zu beheben, aktualisieren Sie Ihr Client-SDK auf Version 5.16.1 oder höher.