Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Problèmes connus liés au fournisseur de stockage de clés (KSP) pour AWS CloudHSM
Voici les problèmes connus du fournisseur de stockage de clés (KSP) pour AWS CloudHSM.
Rubriques
Problème : échec de la vérification d'un magasin de certificats
Lorsque vous utilisez les versions 5.14 et 5.15 du SDK client, l'appel certutil -store my CERTIFICATE_SERIAL_NUMBER
génère l'erreur suivante :
ERROR: Could not verify certificate public key against private key
-
Conséquence : vous ne pouvez pas l'utiliser
certutil
pour valider un magasin de certificats créé avec le SDK client 5. -
Solution : validez la paire de clés associée au certificat en signant un fichier à l'aide de la clé privée et en vérifiant la signature à l'aide de la clé publique. Cela peut être fait à l'aide de Microsoft SignTool en suivant les étapes indiquées ici.
-
État de la résolution : nous travaillons à ajouter un support pour la vérification des certificats à l'aide de
certutil
. Une fois disponible, la mise à jour sera annoncée sur la page de l'historique des versions.
Problème : incohérence du nom du conteneur dans le magasin de certificats lors de l'utilisation SDK3 du mode de compatibilité pour le SDK client 5
Lorsque vous utilisez la certutil -store my CERTIFICATE_SERIAL_NUMBER
commande pour afficher les certificats dont les fichiers de référence clés ont été générés à l'aide de la commande generate-file dans la version AWS CLI 5.16.0, l'erreur suivante se produit :
ERROR: Container name inconsistent: CONTAINER_NAME
Cette erreur se produit car il existe une incompatibilité entre le nom du conteneur stocké dans le certificat et le nom du fichier de référence clé généré par la CLI CloudHSM.
-
Conséquence : malgré cette erreur, les certificats et leurs clés associées restent pleinement fonctionnels. Toutes les applications utilisant ces certificats continueront de fonctionner normalement.
-
Solution : pour résoudre cette erreur, renommez le nom du fichier de référence clé en nom de conteneur simple ou unique. Reportez-vous à l'exemple de sortie suivant de la commande
certutil -store my
Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US Non-root Certificate Cert Hash(sha1): 1add52 Key Container = 7e3c-b2f5 Simple container name: tq-3daacd89 Unique container name: tq-3daacd89 ERROR: Container name inconsistent: 7e3c-b2f5
Par défaut, les fichiers de référence clés seront stockés dans
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
Renommez le fichier de référence clé avec le nom de conteneur simple.
Réparez le magasin de certificats avec le nouveau nom du conteneur clé. Reportez-vous aux étapes 12 à 14 de la section Migration KSP pour plus de détails.
-
État de la résolution : ce problème a été résolu dans la version 5.16.1 du SDK client. Pour résoudre ce problème, mettez à niveau votre SDK client vers la version 5.16.1 ou ultérieure.