Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Problemi noti per tutte le istanze HSM
<a name="ki-all"></a>

I seguenti problemi riguardano tutti gli AWS CloudHSM utenti indipendentemente dal fatto che utilizzino lo strumento da riga di comando key\_mgmt\_util, l'SDK PKCS \#11, l'SDK JCE o l'SDK OpenSSL. 

**Topics**
+ [Problema: il wrapping della chiave AES utilizza il riempimento PKCS \#5 invece di fornire un'implementazione conforme agli standard del wrapping della chiave con riempimento a zeri](#ki-all-1)
+ [Problema: il daemon del client richiede almeno un indirizzo IP valido nel suo file di configurazione per la corretta connessione al cluster](#ki-all-2)
+ [Problema: era previsto un limite massimo di 16 KB per i dati che potevano essere sottoposti a hashing e firmati da AWS CloudHSM utilizzando Client SDK 3](#ki-all-3)
+ [Problema: non è stato possibile specificare le chiavi importate come non esportabili](#ki-all-4)
+ [Problema: il meccanismo predefinito per i comandi WrapKey e WrapKey un in key\_mgmt\_util è stato rimosso](#ki-all-5)
+ [Problema: se si dispone di un singolo HSM nel cluster, il failover non funziona correttamente](#ki-all-6)
+ [Problema: se si supera la capacità della chiave per gli HSM nel cluster all'interno di un breve periodo di tempo, il client immette un errore non gestito](#ki-all-7)
+ [Problema: le operazioni digest con le chiavi HMAC di dimensioni superiori a 800 byte non sono supportate](#ki-all-8)
+ [Problema: lo strumento client\_info distribuito con Client SDK 3 elimina il contenuto del percorso specificato dall'argomento di output opzionale](#ki-all-9)
+ [Problema: viene visualizzato un errore durante l'esecuzione dello strumento di configurazione SDK 5 utilizzando l'argomento `--cluster-id` in ambienti containerizzati](#ki-all-10)
+ [Problema: viene visualizzato l'errore «Impossibile creare cert/key dal file pfx fornito. Errore: NotPkcs 8"](#ki-all-11)
+ [Problema: la firma ECDSA non riesce con l'errore «meccanismo non valido» a partire da SDK 5.16](#ki-all-12)
+ [Problema: le operazioni di firma con dati precrittografati non cancellano correttamente i token di sessione in modalità interattiva](#ki-all-13)
+ [Problema: il certificato client predefinito della libreria client CloudHSM scade il 31 gennaio 2026](#ki-all-14)
+ [Problema: la connessione a Client SDK 5 non riesce a causa di una chiave di certificato CA debole](#ki-all-15)
+ [Problema: le operazioni crittografiche falliscono a causa dell'errore «Il numero di sequenza è fuori dalla finestra» in caso di elevata concorrenza](#ki-all-16)

## Problema: il wrapping della chiave AES utilizza il riempimento PKCS \#5 invece di fornire un'implementazione conforme agli standard del wrapping della chiave con riempimento a zeri
<a name="ki-all-1"></a>

Inoltre, il wrapping della chiave senza riempimento e riempimento a zeri non è supportato.
+ **Impatto: non vi è alcun impatto** se impacchettate e scompattate utilizzando questo algoritmo interno. AWS CloudHSM Tuttavia, le chiavi racchiuse AWS CloudHSM non possono essere aperte all'interno di altri HSM o software che prevedono la conformità alla specifica di assenza di imbottitura. Questo perché otto byte di dati di riempimento potrebbero essere aggiunti alla fine dei dati della chiave durante un wrapping conforme agli standard. Le chiavi racchiuse esternamente non possono essere decomposte correttamente in un'istanza. AWS CloudHSM 
+ **Soluzione:** per annullare esternamente il wrapping di una chiave eseguito con wrapping della chiave AES con riempimento PKCS \#5 su un'istanza AWS CloudHSM, eliminare il riempimento supplementare prima di tentare di utilizzare la chiave. Per farlo, è possibile tagliare i byte supplementari in un editor di file o copiare solo i byte della chiave in un nuovo buffer nel codice. 
+ **Stato della risoluzione: **con il client 3.1.0 e la versione software, AWS CloudHSM fornisce opzioni conformi agli standard per il wrapping delle chiavi AES. Per ulteriori informazioni, vedi [wrapping delle chiavi AES](manage-aes-key-wrapping.md). 

## Problema: il daemon del client richiede almeno un indirizzo IP valido nel suo file di configurazione per la corretta connessione al cluster
<a name="ki-all-2"></a>
+ **Impact: (Impatto) **se si elimina ogni HSM nel cluster e si aggiunge poi un altro HSM, che ottiene un nuovo indirizzo IP, il daemon del client continua a cercare gli HSM ai loro indirizzi IP originali. 
+ **Soluzione alternativa:** se si esegue un carico di lavoro intermittente, si consiglia di utilizzare l'`IpAddress`argomento nella [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)funzione per impostare l'elastic network interface (ENI) sul valore originale. Si noti che l'ENI è specifica per una zona di disponibilità (AZ). In alternativa, è possibile eliminare il file `/opt/cloudhsm/daemon/1/cluster.info` e quindi reimpostare la configurazione del client sull'indirizzo IP del nuovo HSM. È possibile utilizzare il comando `client -a {{<IP address>}}`. Per ulteriori informazioni, consulta [Installare e configurare il AWS CloudHSM client (Linux)](cmu-install-and-configure-client-linux.md) o [Installare e configurare il AWS CloudHSM client](cmu-install-and-configure-client-win.md) (Windows).

## Problema: era previsto un limite massimo di 16 KB per i dati che potevano essere sottoposti a hashing e firmati da AWS CloudHSM utilizzando Client SDK 3
<a name="ki-all-3"></a>
+ **Resolution status (Stato di risoluzione)**: i dati di dimensioni inferiori ai 16 KB continuano a essere inviati all'HSM per l'hashing. Abbiamo aggiunto la capacità che consente di eseguire l'hashing in locale, nel software, per i dati di dimensioni comprese tra 16 KB e 64 KB. Client SDK 5 fallirà esplicitamente se il buffer di dati è più grande di 64 KB. È necessario aggiornare il client e gli SDK a una versione successiva alla 5.0.0 o superiore per trarre vantaggio dalla correzione. 

## Problema: non è stato possibile specificare le chiavi importate come non esportabili
<a name="ki-all-4"></a>
+ **Resolution Status (Stato di risoluzione)**: questo problema è stato risolto. Per trarre vantaggio dalla correzione non è richiesta alcuna operazione.

## Problema: il meccanismo predefinito per i comandi WrapKey e WrapKey un in key\_mgmt\_util è stato rimosso
<a name="ki-all-5"></a>
+ **Risoluzione:** quando si utilizzano i comandi WrapKey o WrapKey un, è necessario utilizzare l'opzione per specificare `-m` il meccanismo. Vedi gli esempi in [WrapKey](key_mgmt_util-wrapKey.md) [o](key_mgmt_util-unwrapKey.md) negli articoli per maggiori WrapKey informazioni. 

## Problema: se si dispone di un singolo HSM nel cluster, il failover non funziona correttamente
<a name="ki-all-6"></a>
+ **Impatto: **se la singola istanza HSM nel cluster perde la connettività, il client si non riconnette con essa anche se l'istanza HSM viene successivamente ripristinata.
+ **Soluzione. **consigliamo almeno due istanze HSM in tutti i cluster di produzione. Se si utilizza questa configurazione, non verrà riscontrato questo problema. Per i cluster HSM singoli, non recapitare il daemon del client per ripristinare la connettività.
+ **Stato della risoluzione:** questo problema è stato risolto nella versione 1.1.2 del client AWS CloudHSM . È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.

## Problema: se si supera la capacità della chiave per gli HSM nel cluster all'interno di un breve periodo di tempo, il client immette un errore non gestito
<a name="ki-all-7"></a>
+ **Impatto: ** quando il client incontra l'errore non gestito, si blocca e deve essere riavviato.
+ **Soluzione. **prova il throughput per garantire che non vengono cerate chiavi di sessione a una velocità che il client non è in grado di gestire. È possibile ridurre la velocità aggiungendo un HSM al cluster o rallentando la creazione di chiavi di sessione.
+ **Stato della risoluzione:** questo problema è stato risolto nella versione 1.1.2 del client AWS CloudHSM . È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.

## Problema: le operazioni digest con le chiavi HMAC di dimensioni superiori a 800 byte non sono supportate
<a name="ki-all-8"></a>
+ **Impatto: **le chiavi HMAC di dimensioni superiori a 800 byte possono essere generate o importate in HSM. Tuttavia, se si utilizza questa chiave di dimensioni maggiori in un'operazione digest tramite JCE o key\_mgmt\_util, l'operazione avrà esito negativo. Si noti che se si sta utilizzando PKCS11, le chiavi HMAC possono raggiungere al massimo una dimensione di 64 byte.
+ **Soluzione. **se si utilizzano le chiavi HMAC per le operazioni digest su HSM, assicurarsi che la dimensione sia inferiore a 800 byte.
+ **Stato risoluzione: **nessuno in questo momento.

## Problema: lo strumento client\_info distribuito con Client SDK 3 elimina il contenuto del percorso specificato dall'argomento di output opzionale
<a name="ki-all-9"></a>
+ **Impatto:** tutti i file e le sottodirectory esistenti nel percorso di output specificato potrebbero andare persi definitivamente.
+ **Soluzione alternativa: **non utilizzare l'argomento opzionale `-output {{path}}` quando si utilizza lo strumento `client_info`.
+ **Stato della risoluzione: **questo problema è stato risolto nella [versione 3.3.2 dell'SDK del client](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html#client-version-3-3-2). È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.

## Problema: viene visualizzato un errore durante l'esecuzione dello strumento di configurazione SDK 5 utilizzando l'argomento `--cluster-id` in ambienti containerizzati
<a name="ki-all-10"></a>

Quando utilizzi l'argomento --cluster-id con lo strumento di configurazione, viene visualizzato l'errore seguente:

`No credentials in the property bag`

Questo errore è causato da un aggiornamento alla versione 2 di Instance Metadata Service (IMDSv2). Per ulteriori informazioni, consulta la documentazione di [IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html).
+ **Impatto:** questo problema si ripercuoterà sugli utenti che eseguono lo strumento di configurazione nelle versioni 5.5.0 e successive dell'SDK in ambienti containerizzati e che utilizzano i metadati dell'istanza EC2 per fornire le credenziali.
+ **Soluzione alternativa:** imposta il limite di hop di risposta PUT su almeno due. Per indicazioni su come eseguire questa operazione, consulta [Configurare le opzioni dei metadati dell'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html).

## Problema: viene visualizzato l'errore «Impossibile creare cert/key dal file pfx fornito. Errore: NotPkcs 8"
<a name="ki-all-11"></a>
+ **Soluzione alternativa:** puoi convertire la chiave privata SSL personalizzata in formato PKCS8 con il comando openssl: `openssl pkcs8 -topk8 -inform PEM -outform PEM -in {{ssl_private_key}} -out {{ssl_private_key_pkcs8}}`
+ **Stato della risoluzione:** [questo problema è stato risolto nella versione client SDK 5.12.0.](client-version-previous.md#client-version-5-12-0) È necessario eseguire l'aggiornamento a questa versione del client o a una versione successiva per usufruire della correzione.

## Problema: la firma ECDSA non riesce con l'errore «meccanismo non valido» a partire da SDK 5.16
<a name="ki-all-12"></a>
+ **Impatto:** le operazioni di firma ECDSA falliscono quando si utilizzano funzioni hash più deboli della chiave. Questo errore si verifica perché lo [standard FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) richiede che la funzione hash sia almeno altrettanto potente della chiave. 

  Potresti visualizzare un errore simile a questo nei log dei tuoi client:

  ```
  [cloudhsm_provider::hsm1::session::ecdsa::sign::common][][] Digest security strength (80) is weaker than the key security strength (128)
  ```
+ **Soluzione alternativa:** se non riesci ad aggiornare le funzioni di hash, puoi migrare verso cluster non FIPS, che non impongono il requisito di forza dell'hash. Tuttavia, consigliamo di aggiornare le funzioni di hash per mantenere la conformità FIPS. 

   Come soluzione alternativa, abbiamo aggiunto un'opzione di configurazione per aggirare questo requisito. Tieni presente che questa opzione **non è consigliata**, poiché l'utilizzo di ECDSA con funzioni di hash più deboli non segue le migliori pratiche di sicurezza. Per utilizzare questa opzione, esegui il seguente comando (sostituendolo `configure-cli` con lo strumento di configurazione per l'SDK utilizzato): [AWS CloudHSM Sintassi di configurazione di Client SDK 5](configure-tool-syntax5.md) 

  ```
  sudo /opt/cloudhsm/bin/configure-cli --enable-ecdsa-with-weak-hash-function
  ```
+ **Risoluzione:** utilizzate una funzione hash potente almeno quanto la vostra chiave ECDSA. Per informazioni sulla funzione hash e sui punti di forza principali dell'ECDSA, vedere le Tabelle 2 e 3 in [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf) SP 800-57 Part 1 Rev 5. 

## Problema: le operazioni di firma con dati precrittografati non cancellano correttamente i token di sessione in modalità interattiva
<a name="ki-all-13"></a>
+ **Impatto:** quando si utilizza la CLI di CloudHSM in modalità interattiva con la versione SDK 5.16.1, le operazioni di firma con dati prehash non riescono a cancellare correttamente i token di sessione. 
+ **Soluzione alternativa:** utilizza la modalità a comando singolo anziché la modalità interattiva quando si eseguono operazioni di firma con dati precrittografati. Ciò garantisce una corretta pulizia dei token dopo ogni operazione. 
+ **Stato della risoluzione:** questo problema è stato risolto in CloudHSM SDK 5.16.2. Esegui l'aggiornamento alla versione 5.16.2 o successiva per sfruttare i vantaggi della correzione. 

## Problema: il certificato client predefinito della libreria client CloudHSM scade il 31 gennaio 2026
<a name="ki-all-14"></a>
+ **Impatto:** non vi è alcun impatto sui clienti dopo il 31 gennaio 2026. [Tutte le comunicazioni tra il client e HSM sono protette da Client-HSM TLS come descritto qui.](client-end-to-end-encryption.md) Il TLS Client-HSM utilizza owned/managed certificati cliente configurati dal cliente durante l'inizializzazione del cluster. 
+ **Stato della risoluzione: Risolto.** 

## Problema: la connessione a Client SDK 5 non riesce a causa di una chiave di certificato CA debole
<a name="ki-all-15"></a>

Dopo l'aggiornamento alla versione 5.17.0 o 5.17.1 di Client SDK 5, l'applicazione non riesce a connettersi al cluster con il seguente errore: AWS CloudHSM 

```
Certificate verification error with error code 67 and depth 1: CA certificate key too weak
```
+ **Impatto:** i cluster inizializzati con un certificato CA utilizzando una chiave RSA più debole di 2048 bit non riusciranno a connettersi sulle versioni 5.17.0 e 5.17.1 di Client SDK 5.
+ **Soluzione alternativa:** esegui il downgrade a una versione di Client SDK 5 precedente alla 5.17.0 per ripristinare la connettività al cluster.
+ **Stato della risoluzione:** [questo problema è stato risolto in Client SDK 5.17.2.](latest-releases.md#client-version-5-17-2) Esegui l'aggiornamento alla versione 5.17.2 o successiva per beneficiare della correzione.

## Problema: le operazioni crittografiche falliscono a causa dell'errore «Il numero di sequenza è fuori dalla finestra» in caso di elevata concorrenza
<a name="ki-all-16"></a>
+ **Impatto:** in presenza di carichi di lavoro con elevata concorrenza, Client SDK 5 può occasionalmente restituire errori operativi transitori. Client SDK 5 aumenta il volume delle operazioni parallele sull'HSM come parte del suo migliore livello di sicurezza. In caso di carico elevato, i ritardi nella pianificazione dei thread possono causare errori transitori che sono recuperabili in caso di nuovo tentativo.
+ **Soluzione alternativa: implementa la logica di ripetizione dei tentativi a livello di applicazione per errori transitori**. [Consulta la nostra guida alle best practice.](bp-application-integration.md) È inoltre possibile ridurre il carico sul client limitando il numero di operazioni crittografiche parallele o eseguendo l'aggiornamento a un tipo di istanza con più core CPU.
+ **Stato della risoluzione:** [abbiamo aggiunto nuovi tentativi in Client SDK 5.17.2.](latest-releases.md#client-version-5-17-2) È necessario eseguire l'aggiornamento a questa versione del client o a una versione successiva per usufruire degli aggiornamenti.