Problema: falha na verificação de um armazenamento de certificados Problema: inconsistência do nome do contêiner no armazenamento de certificados ao usar o modo de compatibilidade do SDK3 para o Client SDK 5

Problemas conhecidos do Key Storage Provider (KSP) para AWS CloudHSM

Estes são os problemas conhecidos do Key Storage Provider (KSP) para AWS CloudHSM.

Tópicos

Problema: falha na verificação de um armazenamento de certificados
Problema: inconsistência do nome do contêiner no armazenamento de certificados ao usar o modo de compatibilidade do SDK3 para o Client SDK 5

Problema: falha na verificação de um armazenamento de certificados

Ao usar as versões 5.14 e 5.15 do Client SDK, chamar certutil -store my CERTIFICATE_SERIAL_NUMBER gera o seguinte erro:


ERROR: Could not verify certificate public key against private key

Impacto: você não pode usar certutil para validar um armazenamento de certificados criado com o Client SDK 5.
Solução alternativa: valide o par de chaves associado ao certificado assinando um arquivo usando a chave privada e verificando a assinatura usando a chave pública. Isso pode ser feito usando o Microsoft SignTool seguindo as etapas fornecidas aqui.
Status da resolução: estamos trabalhando para adicionar suporte para verificar certificados usando certutil. A correção será anunciada na página de histórico de versões quando estiver disponível.

Problema: inconsistência do nome do contêiner no armazenamento de certificados ao usar o modo de compatibilidade do SDK3 para o Client SDK 5

Ao usar o comando certutil -store my CERTIFICATE_SERIAL_NUMBER para visualizar certificados cujos arquivos de referência de chave foram gerados usando o comando generate-file na AWS CLI versão 5.16.0, ocorre o seguinte erro:


ERROR: Container name inconsistent: CONTAINER_NAME

Esse erro ocorre porque há uma incompatibilidade entre o nome do contêiner armazenado no certificado e o nome do arquivo de referência da chave gerado pela CloudHSM CLI.

Impacto: apesar desse erro, os certificados e suas chaves associadas permanecem totalmente funcionais. Todos as aplicações que usam esses certificados continuarão funcionando normalmente.
Solução alternativa: para resolver esse erro, renomeie o nome do arquivo de referência da chave para Nome de contêiner simples ou exclusivo. Consulte o seguinte exemplo de saída do comando certutil -store my
```
Subject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US 
Non-root Certificate
Cert Hash(sha1): 1add52
Key Container = 7e3c-b2f5
Simple container name: tq-3daacd89
Unique container name: tq-3daacd89
ERROR: Container name inconsistent: 7e3c-b2f5
```
Por padrão, os principais arquivos de referência serão armazenados em C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
1. Renomeie o arquivo de referência da chave para o nome simples do contêiner.
2. Repare o repositório de certificados com o novo nome do contêiner de chaves. Consulte as etapas 12 a 14 na Migração do KSP para obter mais detalhes.
Status da resolução: este problema foi resolvido no Client SDK versão 5.16.1. Para resolver esse problema, atualize seu Client SDK para a versão 5.16.1 ou posterior.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Problemas conhecidos para o OpenSSL Dynamic Engine

Problemas conhecidos para instâncias do Amazon EC2 que executam o Amazon Linux 2