AWS CloudHSM 用キーストレージプロバイダー (KSP) の既知の問題 - AWS CloudHSM
問題: 証明書ストアの検証が失敗する問題: クライアント SDK 5 の SDK3 互換モード使用時に、証明書ストア内のコンテナ名に不整合が発生する

AWS CloudHSM 用キーストレージプロバイダー (KSP) の既知の問題

以下は、AWS CloudHSM 用キーストレージプロバイダー (KSP) の既知の問題です。

問題: 証明書ストアの検証が失敗する

クライアント SDK バージョン 5.14 および 5.15 を使用している場合に certutil -store my CERTIFICATE_SERIAL_NUMBER を呼び出すと次のエラーがスローされます。

ERROR: Could not verify certificate public key against private key

  • 影響: クライアント SDK 5 で作成された証明書ストアは、certutil を使って検証することができません。

  • 回避策: プライベートキーを使用してファイルに署名し、パブリックキーを使用して署名を検証することで、証明書に関連付けられたキーペアを検証します。これは、Microsoft SignTool を使用し、ここに記載されている手順に従うことで実行できます。

  • 解決策のステータス: certutil を使用した証明書検証をサポートする修正に取り組んでいます。修正は、利用可能なバージョン履歴ページで告知されます。

問題: クライアント SDK 5 の SDK3 互換モード使用時に、証明書ストア内のコンテナ名に不整合が発生する

generate-file コマンド (AWS CLI 5.16.0) で生成された key-reference ファイルに紐づく証明書を確認するために certutil -store my CERTIFICATE_SERIAL_NUMBER コマンドを実行すると、次のエラーが発生します。

ERROR: Container name inconsistent: CONTAINER_NAME

このエラーは、証明書に保存されているコンテナ名 と、CloudHSM CLI によって生成されたキー参照ファイル名が一致しないことが原因で発生します。

  • 影響: このエラーが発生していても、証明書および関連付けられたキーは完全に機能します。これらの証明書を利用するアプリケーションは、問題なく通常どおり動作し続けます。

  • 回避策: このエラーを解消するには、キー参照ファイル名を Simple または Unique のコンテナ名に変更してください。次に示す certutil -store my コマンドのサンプル出力を参照してください。

    Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US 
Non-root Certificate
Cert Hash(sha1): 1add52
Key Container = 7e3c-b2f5
Simple container name: tq-3daacd89
Unique container name: tq-3daacd89
ERROR: Container name inconsistent: 7e3c-b2f5

    デフォルトでは、キー参照ファイルは C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition に保存されます。

    1. キー参照ファイルの名前をシンプルなコンテナ名に変更します。

    2. その後、新しいキーコンテナ名を使用して証明書ストアを修復します。詳細については、KSPの 移行のステップ 12~14 を参照してください。

  • 解決策のステータス: この問題は クライアント SDK バージョン 5.16.1 で修正されています。問題を解決するには、クライアント SDK を 5.16.1 以降 にアップグレードしてください。