使用 Client SDK 3 将 AWS CloudHSM 与 Java Keytool 和 Jarsigner 集成的已知问题

使用 keytool 生成密钥时，提供程序配置中的第一个提供程序不能是 CaviumProvider。

使用 keytool 生成密钥时，安全配置文件中的第一个（受支持的）提供程序将用于生成密钥。这通常是一个软件提供程序。然后，生成的密钥会被赋予一个别名，并在密钥添加过程中作为持久（令牌）密钥导入到 AWS CloudHSM HSM 中。

将 keytool 与 AWS CloudHSM 密钥库结合使用时，请勿在命令行中指定 -providerName、-providerclass 或 -providerpath 选项。在安全提供程序文件中指定这些选项，如密钥库先决条件中所述。

当通过 keytool 和 Jarsigner 使用不可提取的 EC 密钥时，SunEC 提供程序需要从 java.security 文件中的提供程序列表中删除/禁用。如果您通过 keytool 和 Jarsigner 使用可提取的 EC 密钥，提供程序将从 AWS CloudHSM HSM 导出密钥位，并在本地使用密钥进行签名操作。我们不建议您将可导出的密钥与 keytool 或 Jarsigner 一起使用。