本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于 OpenSSL 动态引擎的已知问题 AWS CloudHSM
这些是适用于 AWS CloudHSM的 OpenSSL 动态引擎的已知问题。
**Topics**
+ [
## 问题:你无法在 RHEL 6 和 C AWS CloudHSM ent 上安装 OpenSSL 动态引擎 OS6
](#ki-openssl-1)
+ [
## 问题:默认情况下,仅支持 RSA 分流到 HSM。
](#ki-openssl-2)
+ [
## 问题:不支持使用 HSM 上的密钥实现具有 OAEP 填充的 RSA 加密和解密。
](#ki-openssl-3)
+ [
## 问题:只有 RSA 和 ECC 密钥的私有密钥生成任务才会分流到 HSM。
](#ki-openssl-4)
+ [
## 问题:您无法在 RHEL 8、CentOS 8 或 Ubuntu 18.04 LTS 上安装适用于客户端软件开发工具包 3 的 OpenSSL Dynamic Engine
](#ki-openssl-5)
+ [
## 问题:RHEL 9(9.2\$1)上的 SHA-1 签名和验证弃用
](#ki-openssl-6)
+ [
## 问题: AWS CloudHSM OpenSSL 动态引擎与 OpenSSL v3.x 的 FIPS 提供程序不兼容
](#ki-openssl-7)
+ [
## 问题:从 SD SSL/TLS K 5.16 开始使用 TLS 1.0 和 TLS 1.1 中的 ECDSA 密码套件卸载失败
](#ki-openssl-8)
## 问题:你无法在 RHEL 6 和 C AWS CloudHSM ent 上安装 OpenSSL 动态引擎 OS6
+ **影响:**OpenSSL 动态引擎仅[支持 OpenSSL 1.0.2[f\$1]](client-supported-platforms.md)。默认情况下,RHEL 6 和 CentOS 6 都附带了 OpenSSL 1.0.1。
+ **解决方法:**将 RHEL 6 和 CentOS 6 上的 OpenSSL 库升级到版本 1.0.2[f\$1]。
## 问题:默认情况下,仅支持 RSA 分流到 HSM。
+ **影响:**为了最大限度地提高性能,开发工具包未配置为卸载其他函数,例如随机数生成或 EC-DH 操作。
+ **解决方法:**如果您需要卸载其他操作,请建立一个支持案例来与我们联系。
+ **解决状态:**我们正在增加开发工具包支持,来通过配置文件配置卸载选项。当该更新可用时,将在版本历史记录页面中公布。
## 问题:不支持使用 HSM 上的密钥实现具有 OAEP 填充的 RSA 加密和解密。
+ **影响:**任何使用 OAEP 填充的 RSA 加密和解密调用都将失败并显示错误。 divide-by-zero出现这种情况的原因是,OpenSSL 动态引擎使用伪造的 PEM 文件在本地调用该操作,而不是将该操作分流到 HSM。
+ **解决方法:**您可以使用[PKCS \$111 适用于 AWS CloudHSM 客户端 SDK 的库 5](pkcs11-library.md)或[AWS CloudHSM 客户端 SDK 的 JCE 提供商 5](java-library.md)执行此过程。
+ **解决状态:**我们正在添加对开发工具包的支持以正确分载此操作。当该更新可用时,将在版本历史记录页面中公布。
## 问题:只有 RSA 和 ECC 密钥的私有密钥生成任务才会分流到 HSM。
对于任何其他密钥类型,OpenSSL AWS CloudHSM 引擎不用于呼叫处理。相反会使用本地 OpenSSL 引擎。这将在本地生成一个软件密钥。
+ **影响:**由于故障转移没有提示,因此,没有迹象表明您尚未收到在 HSM 上安全生成的密钥。如果 OpenSSL 在本地生成了软件密钥,则您会看到含有字符串 `"...........++++++"` 的输出跟踪。将操作分流到 HSM 时,此跟踪将不复存在。由于 HSM 上没有生成或存储密钥,因此,以后将无法使用该密钥。
+ **解决方法:**仅为 OpenSSL 引擎支持的密钥类型使用此类引擎。对于所有其他密钥类型,在应用程序中使用 PKCS \$111 或 JCE,或者在 CLI 中使用 `key_mgmt_util`。
## 问题:您无法在 RHEL 8、CentOS 8 或 Ubuntu 18.04 LTS 上安装适用于客户端软件开发工具包 3 的 OpenSSL Dynamic Engine
+ **影响:**默认情况下,RHEL 8、CentOS 8 和 Ubuntu 18.04 LTS 发布的 OpenSSL 版本与客户端软件开发工具包 3 的 OpenSSL Dynamic Engine 不兼容。
+ **变通办法:**使用支持 OpenSSL Dynamic Engine 的 Linux 平台。有关支持的平台的更多信息,请参阅[支持的平台](client-supported-platforms.md)。
+ **解析状态:**使用适用于客户端 SDK 5 的 OpenSSL 动态引擎 AWS CloudHSM 支持这些平台。有关更多信息,请参阅[支持的平台](client-supported-platforms.md)和 [OpenSSL Dynamic Engine](openssl-library.md)。
## 问题:RHEL 9(9.2\$1)上的 SHA-1 签名和验证弃用
+ **影响:**在 RHEL 9(9.2\$1)中,已弃用使用 SHA-1 消息摘要进行加密。因此,使用 OpenSSL 动态引擎通过 SHA-1 执行签名和验证操作将失败。
+ **解决办法:**[如果您的场景要求对 signing/verifying 现有或第三方加密签名使用 SHA-1,请参阅[增强 RHEL 安全性:了解 RHEL 9 (9.2\$1) 上的 SHA-1 弃用情况和 RHEL 9 (9.2\$1)](https://www.redhat.com/en/blog/rhel-security-sha-1-package-signatures-distrusted-rhel-9) 发行说明了解更多详细信息。](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview)
## 问题: AWS CloudHSM OpenSSL 动态引擎与 OpenSSL v3.x 的 FIPS 提供程序不兼容
+ **影响:**在 OpenSSL 版本 3.x 中启用 FIPS 提供程序时,如果您尝试使用 AWS CloudHSM OpenSSL 动态引擎,则会收到错误消息。
+ **解决办法:**要在 AWS CloudHSM OpenSSL 3.x 版本中使用 OpenSSL 动态引擎,请确保配置了 “默认” 提供程序。在 [OpenSSL 网站](https://www.openssl.org/docs/man3.0/man7/OSSL_PROVIDER-default.html)上阅读有关默认提供程序的更多信息。
## 问题:从 SD SSL/TLS K 5.16 开始使用 TLS 1.0 和 TLS 1.1 中的 ECDSA 密码套件卸载失败
+ **影响:**使用 TLS 1.0 或 TLS 1.1 的连接尝试失败,因为这些版本使用 SHA-1 进行签名,不符合 [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 的要求。
+ **解决办法:**如果您无法立即升级 TLS 版本,则可以迁移到不强制执行哈希强度要求的非 FIPS 集群。但是,我们建议升级到 TLS 1.2 或 TLS 1.3,进而保持 FIPS 合规性和安全性最佳实践。
+ **解决方案:**升级您的实现进而使用 TLS 1.2 或 TLS 1.3。出于安全考虑,互联网工程任务组(IETF)已[弃用](https://datatracker.ietf.org/doc/rfc8996/) TLS 1.0 和 TLS 1.1。