Problème : échec de la vérification d'un magasin de certificats Problème : incohérence du nom du conteneur dans le magasin de certificats lors de l'utilisation SDK3 du mode de compatibilité pour le SDK client 5

Problèmes connus liés au fournisseur de stockage de clés (KSP) pour AWS CloudHSM

Voici les problèmes connus du fournisseur de stockage de clés (KSP) pour AWS CloudHSM.

Rubriques

Problème : échec de la vérification d'un magasin de certificats
Problème : incohérence du nom du conteneur dans le magasin de certificats lors de l'utilisation SDK3 du mode de compatibilité pour le SDK client 5

Problème : échec de la vérification d'un magasin de certificats

Lorsque vous utilisez les versions 5.14 et 5.15 du SDK client, l'appel certutil -store my CERTIFICATE_SERIAL_NUMBER génère l'erreur suivante :


ERROR: Could not verify certificate public key against private key

Conséquence : vous ne pouvez pas l'utiliser certutil pour valider un magasin de certificats créé avec le SDK client 5.
Solution : validez la paire de clés associée au certificat en signant un fichier à l'aide de la clé privée et en vérifiant la signature à l'aide de la clé publique. Cela peut être fait à l'aide de Microsoft SignTool en suivant les étapes indiquées ici.
État de la résolution : nous travaillons à ajouter un support pour la vérification des certificats à l'aide decertutil. Une fois disponible, la mise à jour sera annoncée sur la page de l'historique des versions.

Problème : incohérence du nom du conteneur dans le magasin de certificats lors de l'utilisation SDK3 du mode de compatibilité pour le SDK client 5

Lorsque vous utilisez la certutil -store my CERTIFICATE_SERIAL_NUMBER commande pour afficher les certificats dont les fichiers de référence clés ont été générés à l'aide de la commande generate-file dans la version AWS CLI 5.16.0, l'erreur suivante se produit :


ERROR: Container name inconsistent: CONTAINER_NAME

Cette erreur se produit car il existe une incompatibilité entre le nom du conteneur stocké dans le certificat et le nom du fichier de référence clé généré par la CLI CloudHSM.

Conséquence : malgré cette erreur, les certificats et leurs clés associées restent pleinement fonctionnels. Toutes les applications utilisant ces certificats continueront de fonctionner normalement.
Solution : pour résoudre cette erreur, renommez le nom du fichier de référence clé en nom de conteneur simple ou unique. Reportez-vous à l'exemple de sortie suivant de la commande certutil -store my
```
Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US 
Non-root Certificate
Cert Hash(sha1): 1add52
Key Container = 7e3c-b2f5
Simple container name: tq-3daacd89
Unique container name: tq-3daacd89
ERROR: Container name inconsistent: 7e3c-b2f5
```
Par défaut, les fichiers de référence clés seront stockés dans C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
1. Renommez le fichier de référence clé avec le nom de conteneur simple.
2. Réparez le magasin de certificats avec le nouveau nom du conteneur clé. Reportez-vous aux étapes 12 à 14 de la section Migration KSP pour plus de détails.
État de la résolution : ce problème a été résolu dans la version 5.16.1 du SDK client. Pour résoudre ce problème, mettez à niveau votre SDK client vers la version 5.16.1 ou ultérieure.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Problèmes connus pour le moteur dynamique OpenSSL

Problèmes connus relatifs aux EC2 instances Amazon exécutant Amazon Linux 2