As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Problemas conhecidos do Key Storage Provider (KSP) para AWS CloudHSM
Esses são os problemas conhecidos do Key Storage Provider (KSP) for AWS CloudHSM.
Tópicos
Problema: falha na verificação de um armazenamento de certificados
Ao usar as versões 5.14 e 5.15 do SDK do Cliente, a chamada certutil -store my CERTIFICATE_SERIAL_NUMBER
gera o seguinte erro:
ERROR: Could not verify certificate public key against private key
-
Impacto: você não pode usar
certutil
para validar um armazenamento de certificados criado com o Client SDK 5. -
Solução alternativa: valide o par de chaves associado ao certificado assinando um arquivo usando a chave privada e verificando a assinatura usando a chave pública. Isso pode ser feito usando a Microsoft SignTool seguindo as etapas fornecidas aqui.
-
Status da resolução: estamos trabalhando para adicionar suporte à verificação de certificados usando o.
certutil
A correção será anunciada na página de histórico de versões quando estiver disponível.
Problema: inconsistência do nome do contêiner no armazenamento de certificados ao usar o modo de SDK3 compatibilidade para o Client SDK 5
Ao usar o certutil -store my CERTIFICATE_SERIAL_NUMBER
comando para visualizar certificados cujos arquivos de referência de chave foram gerados usando o comando generate-file na AWS CLI versão 5.16.0, ocorre o seguinte erro:
ERROR: Container name inconsistent: CONTAINER_NAME
Esse erro ocorre porque há uma incompatibilidade entre o nome do contêiner armazenado no certificado e o nome do arquivo de referência da chave gerado pela CLI do CloudHSM.
-
Impacto: apesar desse erro, os certificados e suas chaves associadas permanecem totalmente funcionais. Todos os aplicativos que usam esses certificados continuarão funcionando normalmente.
-
Solução alternativa: para resolver esse erro, renomeie o nome do arquivo de referência da chave para Nome de contêiner simples ou exclusivo. Consulte o seguinte exemplo de saída do comando
certutil -store my
Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US Non-root Certificate Cert Hash(sha1): 1add52 Key Container = 7e3c-b2f5 Simple container name: tq-3daacd89 Unique container name: tq-3daacd89 ERROR: Container name inconsistent: 7e3c-b2f5
Por padrão, os principais arquivos de referência serão armazenados em
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
Renomeie o arquivo de referência da chave para o nome simples do contêiner.
Repare o repositório de certificados com o novo nome do contêiner de chaves. Consulte as etapas 12 a 14 na Migração do KSP para obter mais detalhes.
-
Status da resolução: esse problema foi corrigido no SDK do cliente versão 5.16.1. Para resolver esse problema, atualize seu SDK do cliente para a versão 5.16.1 ou posterior.