에 대한 키 스토리지 공급자(KSP)의 알려진 문제 AWS CloudHSM - AWS CloudHSM
문제: 인증서 스토어 확인 실패문제: 클라이언트 SDK 5에 SDK3 호환성 모드를 사용하는 동안 인증서 스토어의 컨테이너 이름 불일치

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 키 스토리지 공급자(KSP)의 알려진 문제 AWS CloudHSM

다음은에 대한 키 스토리지 공급자(KSP)의 알려진 문제입니다 AWS CloudHSM.

문제: 인증서 스토어 확인 실패

클라이언트 SDK 버전 5.14 및 5.15를 사용하는 경우를 호출하면 다음 오류가 certutil -store my CERTIFICATE_SERIAL_NUMBER 발생합니다.

ERROR: Could not verify certificate public key against private key

  • 영향: certutil를 사용하여 클라이언트 SDK 5로 생성된 인증서 스토어를 검증할 수 없습니다.

  • 해결 방법: 프라이빗 키를 사용하여 파일에 서명하고 퍼블릭 키를 사용하여 서명을 확인하여 인증서와 연결된 키 페어를 검증합니다. 이 작업은 여기에 제공된 단계에 따라 Microsoft SignTool을 사용하여 수행할 수 있습니다.

  • 해결 상태: 를 사용한 인증서 확인에 대한 지원을 추가하기 위해 노력하고 있습니다certutil. 수정 사항이 제공되면 버전 기록 페이지에 발표됩니다.

문제: 클라이언트 SDK 5에 SDK3 호환성 모드를 사용하는 동안 인증서 스토어의 컨테이너 이름 불일치

certutil -store my CERTIFICATE_SERIAL_NUMBER 명령을 사용하여 AWS CLI 5.16.0에서 generate-file 명령을 사용하여 키 참조 파일이 생성된 인증서를 볼 때 다음 오류가 발생합니다.

ERROR: Container name inconsistent: CONTAINER_NAME

이 오류는 인증서에 저장된 컨테이너 이름과 CloudHSM CLI에서 생성된 키 참조 파일 이름이 일치하지 않기 때문에 발생합니다.

  • 영향: 이 오류에도 불구하고 인증서와 관련 키는 완전히 작동합니다. 이러한 인증서를 사용하는 모든 애플리케이션은 계속 정상적으로 작동합니다.

  • 해결 방법: 이 오류를 해결하려면 키 참조 파일 이름을 단순 또는 고유 컨테이너 이름으로 바꿉니다. 명령의 다음 샘플 출력을 참조하세요. certutil -store my 

    Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US 
Non-root Certificate
Cert Hash(sha1): 1add52
Key Container = 7e3c-b2f5
Simple container name: tq-3daacd89
Unique container name: tq-3daacd89
ERROR: Container name inconsistent: 7e3c-b2f5

    기본적으로 키 참조 파일은에 저장됩니다. C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition

    1. 키 참조 파일의 이름을 간단한 컨테이너 이름으로 바꿉니다.

    2. 새 키 컨테이너 이름으로 인증서 스토어를 복구합니다. 자세한 내용은 KSP 마이그레이션의 12~14단계를 참조하세요.

  • 해결 상태: 이 문제는 클라이언트 SDK 버전 5.16.1에서 수정되었습니다. 이 문제를 해결하려면 클라이언트 SDK를 버전 5.16.1 이상으로 업그레이드합니다.