Problèmes connus liés au fournisseur de stockage de clés (KSP) pour AWS CloudHSM - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Problèmes connus liés au fournisseur de stockage de clés (KSP) pour AWS CloudHSM

Voici les problèmes connus du fournisseur de stockage de clés (KSP) pour AWS CloudHSM.

Problème : échec de la vérification d'un magasin de certificats

Lorsque vous utilisez les versions 5.14 et 5.15 du SDK client, l'appel certutil -store my CERTIFICATE_SERIAL_NUMBER génère l'erreur suivante :

ERROR: Could not verify certificate public key against private key
  • Conséquence : vous ne pouvez pas l'utiliser certutil pour valider un magasin de certificats créé avec le SDK client 5.

  • Solution : validez la paire de clés associée au certificat en signant un fichier à l'aide de la clé privée et en vérifiant la signature à l'aide de la clé publique. Cela peut être fait à l'aide de Microsoft SignTool en suivant les étapes indiquées ici.

  • État de la résolution : nous travaillons à ajouter un support pour la vérification des certificats à l'aide decertutil. Une fois disponible, la mise à jour sera annoncée sur la page de l'historique des versions.

Problème : incohérence du nom du conteneur dans le magasin de certificats lors de l'utilisation SDK3 du mode de compatibilité pour le SDK client 5

Lorsque vous utilisez la certutil -store my CERTIFICATE_SERIAL_NUMBER commande pour afficher les certificats dont les fichiers de référence clés ont été générés à l'aide de la commande generate-file dans la version AWS CLI 5.16.0, l'erreur suivante se produit :

ERROR: Container name inconsistent: CONTAINER_NAME

Cette erreur se produit car il existe une incompatibilité entre le nom du conteneur stocké dans le certificat et le nom du fichier de référence clé généré par la CLI CloudHSM.

  • Conséquence : malgré cette erreur, les certificats et leurs clés associées restent pleinement fonctionnels. Toutes les applications utilisant ces certificats continueront de fonctionner normalement.

  • Solution : pour résoudre cette erreur, renommez le nom du fichier de référence clé en nom de conteneur simple ou unique. Reportez-vous à l'exemple de sortie suivant de la commande certutil -store my

    Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US Non-root Certificate Cert Hash(sha1): 1add52 Key Container = 7e3c-b2f5 Simple container name: tq-3daacd89 Unique container name: tq-3daacd89 ERROR: Container name inconsistent: 7e3c-b2f5

    Par défaut, les fichiers de référence clés seront stockés dans C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition

    1. Renommez le fichier de référence clé avec le nom de conteneur simple.

    2. Réparez le magasin de certificats avec le nouveau nom du conteneur clé. Reportez-vous aux étapes 12 à 14 de la section Migration KSP pour plus de détails.

  • État de la résolution : ce problème a été résolu dans la version 5.16.1 du SDK client. Pour résoudre ce problème, mettez à niveau votre SDK client vers la version 5.16.1 ou ultérieure.