Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Problèmes connus liés au moteur dynamique OpenSSL pour AWS CloudHSM

PDF
RSS
Mode de mise au point
Problèmes connus liés au moteur dynamique OpenSSL pour AWS CloudHSM - AWS CloudHSM
Problème : vous ne pouvez pas installer AWS CloudHSM OpenSSL Dynamic Engine sur RHEL 6 et Cent OS6 Problème : Par défaut, seul le déchargement RSA vers le HSM est pris en charge.Problème : Le chiffrement et le déchiffrement RSA avec remplissage OAEP en utilisant une clé sur le HSM ne sont pas pris en charge.Problème : seule la génération de clé privée des clés RSA et ECC est transférée sur le HSM.Problème : vous ne pouvez pas installer le moteur dynamique OpenSSL pour le SDK client 3 sur RHEL 8, CentOS 8 ou Ubuntu 18.04 LTS Problème : Obsolète SHA-1 Sign and Verify sur RHEL 9 (9.2+)Problème : AWS CloudHSM OpenSSL Dynamic Engine est incompatible avec le fournisseur FIPS pour OpenSSL v3.x

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Voici les problèmes connus liés à OpenSSL Dynamic Engine for. AWS CloudHSM

Problème : vous ne pouvez pas installer AWS CloudHSM OpenSSL Dynamic Engine sur RHEL 6 et Cent OS6

  • Impact : OpenSSL Dynamic Engine prend uniquement en charge OpenSSL 1.0.2 [f+]. Par défaut, RHEL 6 et CentOS 6 sont livrés avec OpenSSL 1.0.1.

  • Solution : mettez à niveau la bibliothèque OpenSSL sur RHEL 6 et CentOS 6 vers la version 1.0.2 [f+].

Problème : Par défaut, seul le déchargement RSA vers le HSM est pris en charge.

  • Impact : Pour optimiser les performances, le kit SDK n'est pas configuré pour décharger des fonctions supplémentaires, telles que la génération de nombres aléatoires ou les opérations EC-DH.

  • Solution : Veuillez nous contacter au moyen d'une demande de support si vous avez besoin de décharger des opérations supplémentaires.

  • Statut de résolution : Nous ajoutons actuellement la prise en charge de la configuration des options de déchargement pour le kit SDK au moyen d'un fichier de configuration. Une fois disponible, la mise à jour sera annoncée sur la page de l'historique des versions.

Problème : Le chiffrement et le déchiffrement RSA avec remplissage OAEP en utilisant une clé sur le HSM ne sont pas pris en charge.

  • Conséquence : tout appel au chiffrement et au déchiffrement RSA avec rembourrage OAEP échoue avec une erreur. divide-by-zero Cela se produit car le moteur dynamique OpenSSL appelle l'opération localement à l'aide du fichier PEM factice au lieu de décharger l'opération vers le HSM.

  • Solution : Vous pouvez effectuer cette procédure à l'aide de bibliothèque PKCS #11 pour le SDK AWS CloudHSM client 5 ou de fournisseur JCE pour le SDK AWS CloudHSM client 5.

  • Résolution d'état : Nous sommes en train d'ajouter la prise en charge pour le kit SDK pour décharger correctement cette opération. Une fois disponible, la mise à jour sera annoncée sur la page de l'historique des versions.

Problème : seule la génération de clé privée des clés RSA et ECC est transférée sur le HSM.

Pour tout autre type de clé, le moteur AWS CloudHSM OpenSSL n'est pas utilisé pour le traitement des appels. C'est le moteur dynamique OpenSSL local qui est utilisé à la place. Cela génère une clé localement dans le logiciel.

  • Impact : comme le basculement est silencieux, rien n'indique que vous n'avez pas reçu une clé qui a été générée de façon sécurisée sur le HSM. Vous verrez une sortie de trace contenant la chaîne "...........++++++" si la clé est générée localement par OpenSSL dans le logiciel. Cette trace est absente lorsque l'opération est déchargée sur le HSM. Comme la clé n'est pas générée ou stockée sur le HSM, elle sera indisponible pour une utilisation future.

  • Solution de contournement : utilisez uniquement le moteur OpenSSL pour les Types de clé qu'il prend en charge. Pour tous les autres types de clés, utilisez PKCS #11 ou JCE dans les applications, ou utilisez-le key_mgmt_util dans la CLI.

Problème : vous ne pouvez pas installer le moteur dynamique OpenSSL pour le SDK client 3 sur RHEL 8, CentOS 8 ou Ubuntu 18.04 LTS

  • Conséquence : par défaut, RHEL 8, CentOS 8 et Ubuntu 18.04 LTS fournissent une version d'OpenSSL qui n'est pas compatible avec OpenSSL Dynamic Engine for Client SDK 3.

  • Solution : utilisez une plateforme Linux qui prend en charge le moteur dynamique OpenSSL. Pour plus d'informations sur les plateformes prises en charge, consultez Plateformes prises en charge.

  • État de résolution : AWS CloudHSM prend en charge ces plateformes avec OpenSSL Dynamic Engine for Client SDK 5. Pour plus d'informations, consultez Plateformes prises en charge et OpenSSL Dynamic Engine.

Problème : Obsolète SHA-1 Sign and Verify sur RHEL 9 (9.2+)

Problème : AWS CloudHSM OpenSSL Dynamic Engine est incompatible avec le fournisseur FIPS pour OpenSSL v3.x

  • Conséquence : vous recevrez un message d'erreur si vous tentez d'utiliser le moteur dynamique AWS CloudHSM OpenSSL alors que le fournisseur FIPS est activé pour les versions 3.x d'OpenSSL.

  • Solution : pour utiliser le moteur dynamique AWS CloudHSM OpenSSL avec les versions 3.x d'OpenSSL, assurez-vous que le fournisseur « par défaut » est configuré. Pour en savoir plus sur le fournisseur par défaut, consultez le site Web d'OpenSSL.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.