기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 용 OpenSSL Dynamic Engine의 알려진 문제 AWS CloudHSM
<a name="ki-openssl-sdk"></a>

이는 AWS CloudHSM용 OpenSSL Dynamic Engine의 알려진 문제입니다.

**Topics**
+ [문제: RHEL 6 및 CentOS6에는 AWS CloudHSM OpenSSL Dynamic Engine을 설치할 수 없습니다. CentOS6](#ki-openssl-1)
+ [문제: 기본적으로 HSM에 대한 RSA 오프로드만 지원됩니다.](#ki-openssl-2)
+ [문제: HSM에서 키를 사용하여 OAEP 패딩의 RSA 암호화 및 암호화 해제가 지원되지 않습니다.](#ki-openssl-3)
+ [문제: RSA 및 ECC 키의 프라이빗 키 생성만 HSM으로 오프로드됩니다.](#ki-openssl-4)
+ [문제: RHEL 8, CentOS 8 또는 Ubuntu 18.04 LTS에 Client SDK 3용 OpenSSL 동적 엔진을 설치할 수 없습니다.](#ki-openssl-5)
+ [문제: RHEL 9(9.2\$1)에서 SHA-1 사용 중단 서명 및 확인](#ki-openssl-6)
+ [문제: AWS CloudHSM OpenSSL Dynamic Engine이 OpenSSL v3.x용 FIPS 공급자와 호환되지 않습니다.](#ki-openssl-7)
+ [문제: SDK 5.16부터 TLS 1.0 및 TLS 1.1의 ECDSA 암호 제품군에서 SSL/TLS 오프로드 실패](#ki-openssl-8)

## 문제: RHEL 6 및 CentOS6에는 AWS CloudHSM OpenSSL Dynamic Engine을 설치할 수 없습니다. CentOS6
<a name="ki-openssl-1"></a><a name="openssl-default-version"></a>
+ **영향: **OpenSSL Dynamic Engine은 [OpenSSL 1.0.2[f\$1]만 지원](client-supported-platforms.md)합니다. 기본적으로 RHEL 6 및 CentOS 6은 OpenSSL 1.0.1과 함께 제공됩니다.
+ **해결 방법: ** RHEL 6 및 CentOS 6의 OpenSSL 라이브러리를 버전 1.0.2[f\$1]로 업그레이드합니다.

## 문제: 기본적으로 HSM에 대한 RSA 오프로드만 지원됩니다.
<a name="ki-openssl-2"></a>
+ **영향: **성능을 극대화하기 위해 난수 생성이나 EC-DH 작업과 같은 추가 기능을 오프로드하도록 SDK가 구성되지 않습니다.
+ **해결 방법: **추가 작업을 오프로드해야 할 경우 지원 사례를 통해 문의해 주십시오.
+ **해결 상태: **구성 파일을 통해 오프로드 옵션을 구성하도록 SDK에 지원을 추가하고 있습니다. 업데이트가 제공되면 버전 기록 페이지에 발표됩니다.

## 문제: HSM에서 키를 사용하여 OAEP 패딩의 RSA 암호화 및 암호화 해제가 지원되지 않습니다.
<a name="ki-openssl-3"></a>
+ **영향: **OAEP 패딩의 RSA 암호화 및 암호화 해제에 대한 모든 호출이 실패하면서 0으로 나누기 오류가 발생합니다. 이 결과는 OpenSSL Dynamic Engine이 작업을 HSM에 오프로드하는 대신 가짜 PEM 파일을 사용하여 작업을 로컬로 호출하기 때문에 발생합니다.
+ **해결 방법: **[AWS CloudHSM 클라이언트 SDK 5용 PKCS \$111 라이브러리](pkcs11-library.md) 또는 [AWS CloudHSM 클라이언트 SDK 5용 JCE 공급자](java-library.md)를 사용하여 이 절차를 수행할 수 있습니다.
+ **해결 상태: **이 작업을 올바르게 오프로드하도록 SDK에 지원을 추가하고 있습니다. 업데이트가 제공되면 버전 기록 페이지에 발표됩니다.

## 문제: RSA 및 ECC 키의 프라이빗 키 생성만 HSM으로 오프로드됩니다.
<a name="ki-openssl-4"></a>

다른 키 유형의 경우 OpenSSL AWS CloudHSM 엔진은 통화 처리에 사용되지 않습니다. 로컬 OpenSSL 엔진이 대신 사용됩니다. 이 엔진은 소프트웨어에서 로컬로 키를 생성합니다.
+ **영향: **장애 조치가 작동하지 않기 때문에 HSM에서 안전하게 생성된 키를 받지 못했다는 표시가 없습니다. 키가 소프트웨어에서 OpenSSL에 의해 로컬로 생성된 경우 `"...........++++++"` 문자열을 포함하는 추적 출력이 표시됩니다. 작업이 HSM으로 오프로드되면 이 추적이 없습니다. 키가 HSM에 생성되거나 저장되어 있지 않으므로 나중에 사용할 수 없습니다.
+ **해결 방법: **OpenSSL 엔진을 지원되는 키 유형에 대해서만 사용하십시오. 다른 모든 키 유형의 경우 애플리케이션에서 PKCS\$111 또는 JCE를 사용하거나 CLI에서 `key_mgmt_util`을 사용합니다.

## 문제: RHEL 8, CentOS 8 또는 Ubuntu 18.04 LTS에 Client SDK 3용 OpenSSL 동적 엔진을 설치할 수 없습니다.
<a name="ki-openssl-5"></a>
+ **영향:** 기본적으로 RHEL 8, CentOS 8 및 Ubuntu 18.04 LTS는 Client SDK 3용 OpenSSL Dynamic Engine과 호환되지 않는 OpenSSL 버전을 제공합니다.
+ **해결 방법:** OpenSSL Dynamic Engine을 지원하는 Linux 플랫폼을 사용하십시오. 지원되는 플랫폼에 대한 자세한 내용은 [지원되는 플랫폼](client-supported-platforms.md)을 참조하십시오.
+ **해결 상태: ** AWS CloudHSM 는 클라이언트 SDK 5용 OpenSSL Dynamic Engine으로 이러한 플랫폼을 지원합니다. 자세한 내용은 [지원되는 플랫폼](client-supported-platforms.md) 및 [OpenSSL 동적 엔진](openssl-library.md)을 참조하십시오.

## 문제: RHEL 9(9.2\$1)에서 SHA-1 사용 중단 서명 및 확인
<a name="ki-openssl-6"></a>
+ **영향: **RHEL 9(9.2\$1)에서는 암호화 목적으로 SHA-1 메시지 다이제스트의 사용이 더 이상 사용되지 않습니다. 따라서 OpenSSL Dynamic Engine을 사용하여 SHA-1을 사용하는 서명 및 확인 작업이 실패합니다.
+ **해결 방법: **시나리오에서 기존 또는 타사 암호화 서명에 서명/확인하기 위해 SHA-1을 사용해야 하는 경우 자세한 내용은 [RHEL 보안 강화: RHEL 9(9.2\$1) 및 [RHEL 9(9.2\$1) 릴리스 정보](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview)에서 SHA-1 사용 중단 이해](https://www.redhat.com/en/blog/rhel-security-sha-1-package-signatures-distrusted-rhel-9)를 참조하세요.

## 문제: AWS CloudHSM OpenSSL Dynamic Engine이 OpenSSL v3.x용 FIPS 공급자와 호환되지 않습니다.
<a name="ki-openssl-7"></a>
+ **영향: **FIPS 공급자가 AWS CloudHSM OpenSSL 버전 3.x에 대해 활성화된 경우 OpenSSL Dynamic Engine을 활용하려고 하면 오류가 발생합니다.
+ **해결 방법: ** AWS CloudHSM OpenSSL Dynamic Engine을 OpenSSL 버전 3.x와 함께 사용하려면 "기본" 공급자가 구성되어 있는지 확인합니다. [OpenSSL 웹 사이트](https://www.openssl.org/docs/man3.0/man7/OSSL_PROVIDER-default.html)에서 기본 공급자에 대해 자세히 알아보세요.

## 문제: SDK 5.16부터 TLS 1.0 및 TLS 1.1의 ECDSA 암호 제품군에서 SSL/TLS 오프로드 실패
<a name="ki-openssl-8"></a>
+ **영향:** TLS 1.0 또는 TLS 1.1을 사용한 연결 시도는 해당 버전에서 [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 요구 사항을 충족하지 않는 서명에 SHA-1을 사용하기 때문에 실패합니다.
+ **해결 방법:** TLS 버전을 즉시 업그레이드할 수 없는 경우 해시 강도 요구 사항을 적용하지 않는 비 FIPS 클러스터로 마이그레이션할 수 있습니다. 그러나 FIPS 규정 준수 및 보안 모범 사례를 유지하려면 TLS 1.2 또는 TLS 1.3으로 업그레이드하는 것이 좋습니다.
+ **해결 방법:** TLS 1.2 또는 TLS 1.3을 사용하도록 구현을 업그레이드합니다. Internet Engineering Task Force(IETF)는 보안 문제로 인해 TLS 1.0 및 TLS 1.1을 [deprecated](https://datatracker.ietf.org/doc/rfc8996/)했습니다.