클라이언트 SDK 3를 사용하여 AWS CloudHSM 통합 Java Keytool 및 Jarsigner에 대해 알려진 문제

keytool을 사용하여 키를 생성하는 경우, 공급자 구성의 첫 번째 공급자는 CaviumProvider가 될 수 없습니다.

keytool을 사용하여 키를 생성할 때, 보안 구성 파일의 첫 번째 (지원되는) 공급자가 키를 생성하는 데 사용됩니다. 이러한 공급자는 일반적으로 소프트웨어 공급자입니다. 그런 다음 생성된 키는 별칭이 부여되고 키 추가 프로세스 동안 영구 (토큰) 키로서 AWS CloudHSM HSM으로 가져오기 됩니다.

AWS CloudHSM 키 스토어와 함께 keytool을 사용하는 경우, 명령줄에서 -providerName, -providerclass 또는 -providerpath 옵션을 지정하지 마십시오. 키 스토어 사전 조건에 설명된 대로 보안 공급자 파일에서 이러한 옵션을 지정합니다.

keytool 및 Jarsigner를 통해 추출할 수 없는 EC 키를 사용하는 경우 SunEC 공급자를 java.security 파일의 공급자 목록에서 제거/비활성화해야합니다. keytool 및 Jarsigner를 통해 추출 가능한 EC 키를 사용하는 경우 공급자는 AWS CloudHSM HSM에서 키 비트를 내보내고 서명 작업을 위해 로컬로 키를 사용합니다. keytool 또는 Jarsigner와 함께 내보낼 수 있는 키를 사용하지 않는 것이 좋습니다.