Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Problemas conocidos del proveedor de almacenamiento de claves (KSP) de AWS CloudHSM
Estos son los problemas conocidos del proveedor de almacenamiento de claves (KSP) para. AWS CloudHSM
Temas
Problema: se produce un error al comprobar un almacén de certificados
Cuando se utilizan las versiones 5.14 y 5.15 del SDK de cliente, al llamar se certutil -store my CERTIFICATE_SERIAL_NUMBER
produce el siguiente error:
ERROR: Could not verify certificate public key against private key
-
Impacto: no se puede utilizar
certutil
para validar un almacén de certificados creado con Client SDK 5. -
Solución alternativa: valide el par de claves asociado al certificado firmando un archivo con la clave privada y verificando la firma con la clave pública. Esto se puede hacer con Microsoft SignTool siguiendo los pasos que se proporcionan aquí.
-
Estado de la resolución: estamos trabajando para añadir soporte para verificar el uso
certutil
de certificados. La corrección se anunciará en la página del historial de versiones una vez que esté disponible.
Problema: no hay coherencia en el nombre del contenedor en el almacén de certificados al usar el modo de SDK3 compatibilidad con Client SDK 5
Al usar el certutil -store my CERTIFICATE_SERIAL_NUMBER
comando para ver los certificados cuyos archivos de referencia clave se generaron con el comando generate-file en la versión AWS CLI 5.16.0, se produce el siguiente error:
ERROR: Container name inconsistent: CONTAINER_NAME
Este error se produce porque hay una discrepancia entre el nombre del contenedor almacenado en el certificado y el nombre del archivo de referencia clave generado por la CLI de CloudHSM.
-
Impacto: a pesar de este error, los certificados y sus claves asociadas siguen funcionando a pleno rendimiento. Todas las aplicaciones que utilicen estos certificados seguirán funcionando con normalidad.
-
Solución alternativa: para resolver este error, cambie el nombre del nombre del archivo de referencia clave por el de nombre de contenedor simple o único. Consulte el siguiente ejemplo de resultado del comando
certutil -store my
Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US Non-root Certificate Cert Hash(sha1): 1add52 Key Container = 7e3c-b2f5 Simple container name: tq-3daacd89 Unique container name: tq-3daacd89 ERROR: Container name inconsistent: 7e3c-b2f5
De forma predeterminada, los archivos de referencia clave se almacenarán en
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
Cambie el nombre del archivo de referencia clave por el nombre simple del contenedor.
Repare el almacén de certificados con el nuevo nombre del contenedor de claves. Consulte los pasos 12 a 14 de la migración a KSP para obtener más información.
-
Estado de la resolución: este problema se ha corregido en la versión 5.16.1 del SDK de cliente. Para resolver este problema, actualiza tu SDK de cliente a la versión 5.16.1 o posterior.