Masalah yang diketahui untuk Penyedia Penyimpanan Kunci (KSP) untuk AWS CloudHSM - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Masalah yang diketahui untuk Penyedia Penyimpanan Kunci (KSP) untuk AWS CloudHSM

Ini adalah masalah yang diketahui untuk Penyedia Penyimpanan Kunci (KSP) untuk AWS CloudHSM.

Masalah: Verifikasi penyimpanan sertifikat gagal

Saat menggunakan Client SDK versi 5.14 dan 5.15, panggilan akan certutil -store my CERTIFICATE_SERIAL_NUMBER menimbulkan kesalahan berikut:

ERROR: Could not verify certificate public key against private key
  • Dampak: Anda tidak dapat menggunakan certutil untuk memvalidasi penyimpanan sertifikat yang dibuat dengan Client SDK 5.

  • Solusi: Validasi key pair yang terkait dengan sertifikat dengan menandatangani file menggunakan kunci pribadi dan memverifikasi tanda tangan menggunakan kunci publik. Ini dapat dilakukan dengan menggunakan Microsoft SignTool dengan mengikuti langkah-langkah yang disediakan di sini.

  • Status Resolusi: Kami sedang berupaya menambahkan dukungan untuk memverifikasi sertifikat menggunakancertutil. Pembaruan akan diumumkan di halaman riwayat versi setelah tersedia.

Masalah: Inkonsistensi nama kontainer di penyimpanan sertifikat saat menggunakan mode SDK3 kompatibilitas untuk Client SDK 5

Saat menggunakan certutil -store my CERTIFICATE_SERIAL_NUMBER perintah untuk melihat sertifikat yang file referensi kunci-dihasilkan menggunakan perintah generate-file di AWS CLI 5.16.0, kesalahan berikut terjadi:

ERROR: Container name inconsistent: CONTAINER_NAME

Kesalahan ini terjadi karena ada ketidakcocokan antara nama kontainer yang disimpan dalam sertifikat dan nama file referensi kunci yang dihasilkan oleh CloudHSM CLI.

  • Dampak: Meskipun kesalahan ini, sertifikat dan kunci terkait tetap berfungsi penuh. Semua aplikasi yang menggunakan sertifikat ini akan terus bekerja secara normal.

  • Solusi: Untuk mengatasi kesalahan ini, ganti nama nama file referensi kunci menjadi nama wadah Sederhana atau Unik. Lihat contoh output perintah berikut certutil -store my

    Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US Non-root Certificate Cert Hash(sha1): 1add52 Key Container = 7e3c-b2f5 Simple container name: tq-3daacd89 Unique container name: tq-3daacd89 ERROR: Container name inconsistent: 7e3c-b2f5

    Secara default, file referensi kunci akan disimpan di C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition

    1. Ubah nama file referensi kunci menjadi nama kontainer sederhana.

    2. Perbaiki toko sertifikat dengan nama wadah kunci baru. Lihat langkah 12 hingga 14 di Migrasi KSP untuk detail selengkapnya.

  • Status resolusi: Masalah ini telah diperbaiki di Client SDK versi 5.16.1. Untuk mengatasi masalah ini, tingkatkan SDK Klien Anda ke versi 5.16.1 atau yang lebih baru.