のキーストレージプロバイダー (KSP) の既知の問題 AWS CloudHSM

これらは、のキーストレージプロバイダー (KSP) の既知の問題です AWS CloudHSM。

問題: 証明書ストアの検証が失敗する

Client SDK バージョン 5.14 および 5.15 を使用する場合、を呼び出すと次のエラーがcertutil -store my CERTIFICATE_SERIAL_NUMBERスローされます。


ERROR: Could not verify certificate public key against private key

影響: certutilを使用して、クライアント SDK 5 で作成された証明書ストアを検証することはできません。
回避策: プライベートキーを使用してファイルに署名し、パブリックキーを使用して署名を検証することで、証明書に関連付けられたキーペアを検証します。これは、ここに記載されている手順に従って Microsoft SignTool を使用して実行できます。
解決ステータス: を使用して証明書を検証するサポートを追加していますcertutil。修正は、利用可能なバージョン履歴ページで告知されます。

certutil -store my CERTIFICATE_SERIAL_NUMBER コマンドを使用して、 AWS CLI 5.16.0 の generate-file コマンドを使用してキー参照ファイルが生成された証明書を表示すると、次のエラーが発生します。


ERROR: Container name inconsistent: CONTAINER_NAME

このエラーは、証明書に保存されているコンテナ名と CloudHSM CLI によって生成されたキー参照ファイル名が一致しないために発生します。

影響: このエラーにもかかわらず、証明書とそれに関連するキーは完全に機能し続けます。これらの証明書を使用するすべてのアプリケーションは、引き続き正常に動作します。
回避策: このエラーを解決するには、キー参照ファイル名を Simple または Unique コンテナ名に変更します。コマンドの次のサンプル出力を参照してください。 certutil -store my
```
Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US 
Non-root Certificate
Cert Hash(sha1): 1add52
Key Container = 7e3c-b2f5
Simple container name: tq-3daacd89
Unique container name: tq-3daacd89
ERROR: Container name inconsistent: 7e3c-b2f5
```
デフォルトでは、キーリファレンスファイルはに保存されます。 C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
1. キーリファレンスファイルの名前をシンプルなコンテナ名に変更します。
2. 新しいキーコンテナ名を使用して証明書ストアを修復します。詳細については、KSP 移行のステップ 12～14 を参照してください。
解決ステータス: この問題はクライアント SDK バージョン 5.16.1 で修正されました。この問題を解決するには、クライアント SDK をバージョン 5.16.1 以降にアップグレードします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

OpenSSL Dynamic Engine SDK の既知の問題

Amazon Linux 2 を実行する Amazon EC2 インスタンスに関する既知の問題