Problema: ña verificación de un almacén de certificados falla Problema: incoherencia en el nombre del contenedor en el almacén de certificados al utilizar el modo de compatibilidad con SDK 3 para el SDK de cliente 5.

Problemas conocidos del proveedor de almacenamiento de claves (KSP) de AWS CloudHSM

Estos son los problemas conocidos del proveedor de almacenamiento de claves (KSP) de AWS CloudHSM.

Temas

Problema: ña verificación de un almacén de certificados falla
Problema: incoherencia en el nombre del contenedor en el almacén de certificados al utilizar el modo de compatibilidad con SDK 3 para el SDK de cliente 5.

Problema: ña verificación de un almacén de certificados falla

Cuando se utilizan las versiones 5.14 y 5.15 del SDK de cliente, al llamar a certutil -store my CERTIFICATE_SERIAL_NUMBER, se produce el siguiente error:


ERROR: Could not verify certificate public key against private key

Impacto: no se puede utilizar certutil para validar un almacén de certificados creado con el SDK de cliente 5.
Solución alternativa: valide el par de claves asociado al certificado mediante la firma de un archivo con la clave privada y la varificación de la firma con la clave pública. Esto se puede realizar mediante Microsoft SignTool, según los pasos indicados aquí.
Estado de la resolución: trabajamos para agregar compatibilidad con la verificación de certificados mediante certutil. La corrección se anunciará en la página del historial de versiones una vez que esté disponible.

Problema: incoherencia en el nombre del contenedor en el almacén de certificados al utilizar el modo de compatibilidad con SDK 3 para el SDK de cliente 5.

Cuando se utiliza el comando certutil -store my CERTIFICATE_SERIAL_NUMBER para ver certificados cuyos archivos de referencia de clave se generaron mediante el comando generate-file en la versión 5.16.0 de la AWS CLI, se produce el siguiente error:


ERROR: Container name inconsistent: CONTAINER_NAME

Este error se produce porque existe una discrepancia entre el nombre del contenedor almacenado en el certificado y el nombre del archivo de referencia de clave generado por la CLI de CloudHSM.

Impacto: a pesar de este error, los certificados y sus claves asociadas se mantienen plenamente funcionales. Todas las aplicaciones que utilicen estos certificados continuarán en funcionamiento con normalidad.
Solución alternativa: para resolver este error, cambie el nombre del archivo de referencia de clave de modo que coincida con un nombre de contenedor simple o único. Consulte el siguiente resultado de ejemplo del comando certutil -store my
```
Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US 
Non-root Certificate
Cert Hash(sha1): 1add52
Key Container = 7e3c-b2f5
Simple container name: tq-3daacd89
Unique container name: tq-3daacd89
ERROR: Container name inconsistent: 7e3c-b2f5
```
De forma predeterminada, los archivos de referencia de claves se almacenan en C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
1. Cambie el nombre del archivo de referencia de claves para que coincida con el nombre simple del contenedor.
2. Repare el almacén de certificados con el nuevo nombre del contenedor de claves. Consulte los pasos 12 a 14 en tag KSP Migration tag para obtener más detalles.Migración del proveedor de almacenamiento de claves (KSP) del SDK de cliente 3 al SDK de cliente 5 de AWS CloudHSM.
Estado de resolución: este problema se ha corregido en la versión 5.16.1 del SDK del cliente. Para resolver este problema, actualice el SDK del cliente a la versión 5.16.1 o posterior.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Problemas conocidos de OpenSSL Dynamic Engine

Problemas conocidos para instancias de Amazon EC2 que ejecutan Amazon Linux 2