クライアント SDK 3 を使用した AWS CloudHSM とJava Keytool と Jarsigner の統合に関する既知の問題

keytool を使用してキーを生成する場合、プロバイダー設定の最初のプロバイダを CaviumProvider にすることはできません。

keytool を使用してキーを生成する場合、セキュリティ構成ファイル内の最初の (サポートされている) プロバイダーを使用してキーを生成します。これは通常、ソフトウェアプロバイダーです。生成されたキーにはエイリアスが与えられ、キーの追加プロセス中にパーシステント (トークン) キーとして AWS CloudHSM HSM にインポートされます。

AWS CloudHSM キーストアで keytool を使用する場合は、コマンドラインで -providerName、-providerclass、または -providerpath オプションを指定しないでください。これらのオプションは、「キーストアの前提条件」の説明に従って、セキュリティプロバイダーファイルで指定します。

keytool と Jarsigner を介して抽出不可能な EC キーを使用する場合、SunEC プロバイダーを java.security ファイル内のプロバイダーのリストから削除する、または無効にする必要があります。keytool と Jarsigner を使用して抽出可能な EC キーを使用する場合、プロバイダーは AWS CloudHSM HSM からキービットをエクスポートし、そのキーをローカルで使用して署名操作を行います。keytool または Jarsigner でエクスポート可能なキーを使用することはお勧めしません。