适用于 OpenSSL 动态引擎的已知问题 AWS CloudHSM

影响：OpenSSL 动态引擎仅支持 OpenSSL 1.0.2[f+]。默认情况下，RHEL 6 和 CentOS 6 都附带了 OpenSSL 1.0.1。

解决方法：将 RHEL 6 和 CentOS 6 上的 OpenSSL 库升级到版本 1.0.2[f+]。

影响：为了最大限度地提高性能，SDK 未配置为卸载其他功能，例如随机数生成或EC-DH 运算。

解决方法：如果您需要卸载其他操作，请建立一个支持案例来与我们联系。

解决状态：我们正在增加开发工具包支持，来通过配置文件配置卸载选项。当该更新可用时，将在版本历史记录页面中公布。

影响：对具有 OAEP 填充的 RSA 加密和解密的任何调用都会失败，并出现被零除错误。出现这种情况的原因是，OpenSSL 动态引擎使用伪造的 PEM 文件在本地调用该操作，而不是将该操作分流到 HSM。

解决方法：您可以使用PKCS #11 适用于 AWS CloudHSM 客户端 SDK 的库 5或AWS CloudHSM 客户端 SDK 的 JCE 提供商 5执行此过程。

解决状态：我们正在添加对开发工具包的支持以正确分载此操作。当该更新可用时，将在版本历史记录页面中公布。

影响：由于故障转移没有提示，因此，没有迹象表明您尚未收到在 HSM 上安全生成的密钥。如果 OpenSSL 在本地生成了软件密钥，则您会看到含有字符串 "...........++++++" 的输出跟踪。将操作分流到 HSM 时，此跟踪将不复存在。由于 HSM 上没有生成或存储密钥，因此，以后将无法使用该密钥。

解决方法：仅为 OpenSSL 引擎支持的密钥类型使用此类引擎。对于所有其他密钥类型，在应用程序中使用 PKCS #11 或 JCE，或者在 CLI 中使用 key_mgmt_util。

影响：默认情况下，RHEL 8、CentOS 8 和 Ubuntu 18.04 LTS 发布的 OpenSSL 版本与客户端软件开发工具包 3 的 OpenSSL Dynamic Engine 不兼容。

变通办法：使用支持 OpenSSL Dynamic Engine 的 Linux 平台。有关支持的平台的更多信息，请参阅支持的平台。

解析状态：使用适用于客户端 SDK 5 的 OpenSSL 动态引擎 AWS CloudHSM 支持这些平台。有关更多信息，请参阅支持的平台和 OpenSSL Dynamic Engine。

影响：RHEL 9 (9.2+) 中已不建议将 SHA-1 消息摘要用于加密目的。因此， SHA-1 使用 OpenSSL 动态引擎进行签名和验证操作将失败。

解决办法：如果您的场景需要使用 signing/verifying 现有或第三方加密签名，请参阅增强 RHEL 安全性：了解 RHEL 9 (9.2+) 和 R HEL 9 (9.2+) 发行说明中的 SHA-1 弃用情况，了解更多详细信息。 SHA-1

影响：在 OpenSSL 版本 3.x 中启用 FIPS 提供程序时，如果您尝试使用 AWS CloudHSM OpenSSL 动态引擎，则会收到错误消息。

解决办法：要在 AWS CloudHSM OpenSSL 3.x 版本中使用 OpenSSL 动态引擎，请确保配置了 “默认” 提供程序。在 OpenSSL 网站上阅读有关默认提供程序的更多信息。

影响：使用 TLS 1.0 或 TLS 1.1 的连接尝试失败，因为这些版本使用 SHA-1 签名，不符合 FIPS 186- 5 的要求。

解决办法：如果您无法立即升级 TLS 版本，则可以迁移到不强制执行哈希强度要求的非 FIPS 集群。但是，我们建议升级到 TLS 1.2 或 TLS 1.3，进而保持 FIPS 合规性和安全性最佳实践。

解决方案：升级您的实现进而使用 TLS 1.2 或 TLS 1.3。出于安全考虑，互联网工程任务组（IETF）已弃用 TLS 1.0 和 TLS 1.1。