Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Problemas conocidos para todas las instancias de HSM

Modo de enfoque
Problemas conocidos para todas las instancias de HSM - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Los siguientes problemas afectan a todos AWS CloudHSM los usuarios, independientemente de si utilizan la herramienta de línea de comandos key_mgmt_util, el SDK PKCS #11, el SDK de JCE o el SDK de OpenSSL.

Problema: el encapsulamiento de claves con AES utiliza el relleno PKCS#5 en vez de proporcionar una implementación compatible con los estándares de encapsulamiento de clave con cero relleno.

Además, no se admite el encapsulamiento de clave sin relleno o con cero relleno.

  • Impacto: no se produce ningún impacto si se empaqueta y se desempaqueta utilizando este algoritmo interno. AWS CloudHSM Sin embargo, las claves empaquetadas AWS CloudHSM no se pueden desempaquetar dentro de otro software HSMs o de otro tipo que espere cumplir con la especificación de no relleno. Esto se debe a que se pueden agregar ocho bytes de datos de relleno al final de los datos clave durante un desencapsulamiento compatible con los estándares. Las claves empaquetadas externamente no se pueden desempaquetar correctamente en una instancia. AWS CloudHSM

  • Solución: para desencapsular externamente una clave encapsulada con el encapsulamiento de clave con AES con relleno PKCS #5 en una instancia de AWS CloudHSM, quite el relleno adicional antes de intentar utilizar la clave. Puede hacerlo si recorta los bytes adicionales en un editor de archivos o copia solo los bytes de clave en un nuevo búfer en el código.

  • Estado de la resolución: con la versión de software y cliente 3.1.0, AWS CloudHSM ofrece opciones compatibles con los estándares para el encapsulamiento de claves con AES. Para obtener más información, consulte este artículo sobre el encapsulamiento de claves AES.

Problema: el daemon de cliente requiere al menos una dirección IP válida en su archivo de configuración para conectarse correctamente al clúster.

  • Impacto: si eliminas todos los HSM de tu clúster y, a continuación, agregas otro HSM, que obtiene una nueva dirección IP, el demonio del cliente seguirá buscándote HSMs en sus direcciones IP originales.

  • Solución alternativa: si ejecuta una carga de trabajo intermitente, le recomendamos que utilice el IpAddress argumento de la CreateHsmfunción para establecer la elastic network interface (ENI) en su valor original. Tenga en cuenta que la ENI es específica de la zona de disponibilidad (AZ). La alternativa consiste en eliminar el archivo /opt/cloudhsm/daemon/1/cluster.info y, a continuación, restablecer la configuración del cliente a la dirección IP de su nuevo HSM. Puede utilizar el comando client -a <IP address>. Para obtener más información, consulte Instalar y configurar el AWS CloudHSM cliente (Linux) o Instalar y configurar el AWS CloudHSM cliente (Windows).

Problema: había un límite máximo de 16 KB de datos que se podían procesar y firmar AWS CloudHSM mediante Client SDK 3

  • Estado de resolución: los datos con un tamaño inferior a 16 KB siguen siendo enviados al HSM para aplicarles la función hash. Hemos añadido la posibilidad de aplicar la función hash localmente, mediante software, a los datos con un tamaño entre 16 KB y 64 KB. Client SDK 5 generarán un error de forma explícita si el búfer de datos tiene un tamaño superior a 64 KB. Debe actualizar el cliente y los SDK a la versión 5.0.0 o una posterior para contar con la corrección.

Problema: las claves importadas no se podían especificar como no exportables

  • Estado de resolución: este problema se ha corregido. No es necesario que realice ninguna acción para beneficiarse de la corrección.

Problema: Se ha eliminado el mecanismo predeterminado para WrapKey y unWrapKey los comandos de key_mgmt_util

  • Resolución: Al usar el WrapKey o unWrapKey los comandos, debe usar la -m opción para especificar el mecanismo. Consulte los ejemplos en WrapKey o en unWrapKeylos artículos para obtener más información.

Problema: si tiene un único HSM en el clúster, la conmutación por error de HSM no funciona correctamente.

  • Impacto: si la única instancia de HSM del clúster pierde la conectividad, el cliente no se volverá a conectar con ella, incluso si la instancia de HSM se restaura posteriormente.

  • Solución provisional: le recomendamos al menos dos instancias de HSM en cualquier clúster de producción. Si utiliza esta configuración, no se verá afectado por este problema. Para los clústeres de un solo HSM, reinicie el daemon del cliente para restaurar la conectividad.

  • Estado de resolución: este problema se ha solucionado en la versión 1.1.2 del cliente AWS CloudHSM . Debe actualizar a este cliente para beneficiarse de la corrección.

Problema: Si se supera la capacidad clave del clúster HSMs en poco tiempo, el cliente entra en un estado de error no controlado

  • Impacto: cuando el cliente encuentra el estado de error no gestionado, se bloquea y debe reiniciarse.

  • Solución provisional: pruebe el rendimiento para asegurarse de que no está creando claves de sesión a una velocidad que el cliente no pueda gestionar. Puede reducir la velocidad añadiendo un HSM al clúster o ralentizando la creación de claves de sesión.

  • Estado de resolución: este problema se ha solucionado en la versión 1.1.2 del cliente AWS CloudHSM . Debe actualizar a este cliente para beneficiarse de la corrección.

Problema: no se admiten operaciones de resumen con claves de HMAC de un tamaño superior a 800 bytes.

  • Impacto: las claves de HMAC de más de 800 bytes se pueden generar o importar en el HSM. Sin embargo, si utiliza esta clave más grande en una operación de resumen a través de JCE o de key_mgmt_util, la operación no se realizará correctamente. Tenga en cuenta que, si está utilizando PKCS11, las claves HMAC están limitadas a un tamaño de 64 bytes.

  • Solución provisional: si va a utilizar claves de HMAC para operaciones de resumen en el HSM, asegúrese de que el tamaño es inferior a 800 bytes.

  • Estado de resolución: ninguno por el momento.

Problema: la herramienta client_info, que se distribuye con SDK 3 de cliente, elimina el contenido de la ruta especificada por el argumento de salida opcional.

  • Impacto: es posible que todos los archivos y subdirectorios existentes en la ruta de salida especificada se pierdan permanentemente.

  • Solución alternativa: no utilice el argumento opcional -output path cuando utilice la herramienta client_info.

  • Estado de la resolución: Este problema se ha resuelto en la versión 3.3.2 del SDK de cliente. Debe actualizar a este cliente para beneficiarse de la corrección.

Problema: recibe un error al ejecutar la herramienta de configuración del SDK 5 con el argumento --cluster-id en entornos en contenedores.

Aparece el siguiente error al usar el argumento --cluster-id con la herramienta de configuración:

No credentials in the property bag

Este error se debe a una actualización de la versión 2 (IMDSv2) del Servicio de Metadatos de Instancia. Para obtener más información, consulte la documentación de IMDSv2.

  • Impacto: Este problema afectará a los usuarios que utilicen la herramienta de configuración en las versiones 5.5.0 y posteriores del SDK en entornos contenerizados y que utilicen los metadatos de las EC2 instancias para proporcionar credenciales.

  • Solución alternativa: establezca el límite de saltos de respuesta de PUT en al menos dos. Para obtener instrucciones sobre cómo hacerlo, consulte Configurar las opciones de metadatos de la instancia.

Problema: recibe el error “Failed to create cert/key from provided pfx file. Error: NotPkcs 8 pulgadas

  • Solución alternativa: puede convertir la clave privada SSL personalizada en PKCS8 formato con el comando openssl: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • Estado de la resolución: Este problema se ha resuelto en la versión 5.12.0 de Client SDK. Debe actualizar a esta versión de cliente o una posterior para contar con la corrección.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.