Problemas conhecidos do Key Storage Provider (KSP) para AWS CloudHSM - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Problemas conhecidos do Key Storage Provider (KSP) para AWS CloudHSM

Esses são os problemas conhecidos do Key Storage Provider (KSP) for AWS CloudHSM.

Problema: falha na verificação de um armazenamento de certificados

Ao usar as versões 5.14 e 5.15 do SDK do Cliente, a chamada certutil -store my CERTIFICATE_SERIAL_NUMBER gera o seguinte erro:

ERROR: Could not verify certificate public key against private key
  • Impacto: você não pode usar certutil para validar um armazenamento de certificados criado com o Client SDK 5.

  • Solução alternativa: valide o par de chaves associado ao certificado assinando um arquivo usando a chave privada e verificando a assinatura usando a chave pública. Isso pode ser feito usando a Microsoft SignTool seguindo as etapas fornecidas aqui.

  • Status da resolução: estamos trabalhando para adicionar suporte à verificação de certificados usando o. certutil A correção será anunciada na página de histórico de versões quando estiver disponível.

Problema: inconsistência do nome do contêiner no armazenamento de certificados ao usar o modo de SDK3 compatibilidade para o Client SDK 5

Ao usar o certutil -store my CERTIFICATE_SERIAL_NUMBER comando para visualizar certificados cujos arquivos de referência de chave foram gerados usando o comando generate-file na AWS CLI versão 5.16.0, ocorre o seguinte erro:

ERROR: Container name inconsistent: CONTAINER_NAME

Esse erro ocorre porque há uma incompatibilidade entre o nome do contêiner armazenado no certificado e o nome do arquivo de referência da chave gerado pela CLI do CloudHSM.

  • Impacto: apesar desse erro, os certificados e suas chaves associadas permanecem totalmente funcionais. Todos os aplicativos que usam esses certificados continuarão funcionando normalmente.

  • Solução alternativa: para resolver esse erro, renomeie o nome do arquivo de referência da chave para Nome de contêiner simples ou exclusivo. Consulte o seguinte exemplo de saída do comando certutil -store my

    Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US Non-root Certificate Cert Hash(sha1): 1add52 Key Container = 7e3c-b2f5 Simple container name: tq-3daacd89 Unique container name: tq-3daacd89 ERROR: Container name inconsistent: 7e3c-b2f5

    Por padrão, os principais arquivos de referência serão armazenados em C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition

    1. Renomeie o arquivo de referência da chave para o nome simples do contêiner.

    2. Repare o repositório de certificados com o novo nome do contêiner de chaves. Consulte as etapas 12 a 14 na Migração do KSP para obter mais detalhes.

  • Status da resolução: esse problema foi corrigido no SDK do cliente versão 5.16.1. Para resolver esse problema, atualize seu SDK do cliente para a versão 5.16.1 ou posterior.