本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的金鑰儲存提供者 (KSP) 的已知問題 AWS CloudHSM
這些是 金鑰儲存提供者 (KSP) 的已知問題 AWS CloudHSM。
問題:憑證存放區的驗證失敗
使用用戶端 SDK 5.14 和 5.15 版時,呼叫 會certutil -store my CERTIFICATE_SERIAL_NUMBER擲回下列錯誤:
ERROR: Could not verify certificate public key against private key
-
影響:您無法使用
certutil驗證使用用戶端 SDK 5 建立的憑證存放區。 -
解決方法:使用私有金鑰簽署檔案並使用公有金鑰驗證簽章,以驗證與憑證相關聯的金鑰對。您可以依照此處提供的步驟,使用 Microsoft SignTool 來完成此操作。
-
解決狀態:我們正在努力新增使用 驗證憑證的支援
certutil。修正可供使用時即會在版本歷史頁面中公告。
問題:使用用戶端 SDK 5 的 SDK3 相容性模式時,憑證存放區中的容器名稱不一致
使用 certutil -store my CERTIFICATE_SERIAL_NUMBER命令檢視使用 generate-file 命令 in AWS CLI 5.16.0 產生金鑰參考檔案的憑證時,會發生下列錯誤:
ERROR: Container name inconsistent: CONTAINER_NAME
發生此錯誤是因為儲存在憑證中的容器名稱與 CloudHSM CLI 產生的金鑰參考檔案名稱不相符。
-
影響:儘管發生此錯誤,憑證及其相關聯的金鑰仍能正常運作。使用這些憑證的所有應用程式都會繼續正常運作。
-
解決方法:若要解決此錯誤,請將金鑰參考檔案名稱重新命名為簡單或唯一容器名稱。請參閱 命令的下列範例輸出
certutil -store mySubject: CN=www.website.com, OU=Organizational-Unit, O=Organization, L=City, S=State, C=US Non-root Certificate Cert Hash(sha1): 1add52 Key Container = 7e3c-b2f5 Simple container name: tq-3daacd89 Unique container name: tq-3daacd89 ERROR: Container name inconsistent: 7e3c-b2f5根據預設,金鑰參考檔案會存放在
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition將金鑰參考檔案重新命名為簡單容器名稱。
使用新的金鑰容器名稱修復憑證存放區。如需詳細資訊,請參閱 KSP Migration 中的步驟 12 至 14。
-
解決狀態:此問題已在用戶端 SDK 5.16.1 版中修正。若要解決此問題,請將用戶端 SDK 升級至 5.16.1 版或更新版本。
