Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
I seguenti problemi riguardano tutti gli AWS CloudHSM utenti indipendentemente dal fatto che utilizzino lo strumento da riga di comando key_mgmt_util, l'SDK PKCS #11, l'SDK JCE o l'SDK OpenSSL.
Argomenti
Problema: il wrapping della chiave AES utilizza il riempimento PKCS #5 invece di fornire un'implementazione conforme agli standard del wrapping della chiave con riempimento a zeri
Inoltre, il wrapping della chiave senza riempimento e riempimento a zeri non è supportato.
-
Impatto: non vi è alcun impatto se impacchettate e scompattate utilizzando questo algoritmo interno. AWS CloudHSM Tuttavia, le chiavi racchiuse AWS CloudHSM non possono essere aperte all'interno di altri software che prevedono la conformità alla HSMs specifica di assenza di imbottitura. Questo perché otto byte di dati di riempimento potrebbero essere aggiunti alla fine dei dati della chiave durante un wrapping conforme agli standard. Le chiavi racchiuse esternamente non possono essere decomposte correttamente in un'istanza. AWS CloudHSM
-
Soluzione: per annullare esternamente il wrapping di una chiave eseguito con wrapping della chiave AES con riempimento PKCS #5 su un'istanza AWS CloudHSM, eliminare il riempimento supplementare prima di tentare di utilizzare la chiave. Per farlo, è possibile tagliare i byte supplementari in un editor di file o copiare solo i byte della chiave in un nuovo buffer nel codice.
-
Stato della risoluzione: con il client 3.1.0 e la versione software, AWS CloudHSM fornisce opzioni conformi agli standard per il wrapping delle chiavi AES. Per ulteriori informazioni, vedi wrapping delle chiavi AES.
Problema: il daemon del client richiede almeno un indirizzo IP valido nel suo file di configurazione per la corretta connessione al cluster
-
Impatto: se elimini tutti gli HSM del cluster e poi ne aggiungi un altro, che ottiene un nuovo indirizzo IP, il demone client continua a cercare l'utente negli indirizzi IP originali. HSMs
-
Soluzione alternativa: se si esegue un carico di lavoro intermittente, si consiglia di utilizzare l'
IpAddressargomento nella CreateHsmfunzione per impostare l'elastic network interface (ENI) sul valore originale. Si noti che l'ENI è specifica per una zona di disponibilità (AZ). In alternativa, è possibile eliminare il file/opt/cloudhsm/daemon/1/cluster.infoe quindi reimpostare la configurazione del client sull'indirizzo IP del nuovo HSM. È possibile utilizzare il comandoclient -a. Per ulteriori informazioni, consulta Installare e configurare il AWS CloudHSM client (Linux) o Installare e configurare il AWS CloudHSM client (Windows).<IP address>
Problema: era previsto un limite massimo di 16 KB per i dati che potevano essere sottoposti a hashing e firmati AWS CloudHSM utilizzando Client SDK 3
-
Resolution status (Stato di risoluzione): i dati di dimensioni inferiori ai 16 KB continuano a essere inviati all'HSM per l'hashing. Abbiamo aggiunto la capacità che consente di eseguire l'hashing in locale, nel software, per i dati di dimensioni comprese tra 16 KB e 64 KB. Client SDK 5 fallirà esplicitamente se il buffer di dati è più grande di 64 KB. È necessario aggiornare il client e gli SDK a una versione successiva alla 5.0.0 o superiore per trarre vantaggio dalla correzione.
Problema: non è stato possibile specificare le chiavi importate come non esportabili
-
Resolution Status (Stato di risoluzione): questo problema è stato risolto. Per trarre vantaggio dalla correzione non è richiesta alcuna operazione.
Problema: il meccanismo predefinito per WrapKey unWrapKey e i comandi in key_mgmt_util è stato rimosso
-
Risoluzione: quando si utilizza WrapKey unWrapKey o i comandi, è necessario utilizzare l'opzione per
-mspecificare il meccanismo. Vedi gli esempi in WrapKey unWrapKeyo negli articoli per maggiori informazioni.
Problema: se si dispone di un singolo HSM nel cluster, il failover non funziona correttamente
-
Impatto: se la singola istanza HSM nel cluster perde la connettività, il client si non riconnette con essa anche se l'istanza HSM viene successivamente ripristinata.
-
Soluzione. consigliamo almeno due istanze HSM in tutti i cluster di produzione. Se si utilizza questa configurazione, non verrà riscontrato questo problema. Per i cluster HSM singoli, non recapitare il daemon del client per ripristinare la connettività.
-
Stato della risoluzione: questo problema è stato risolto nella versione 1.1.2 del client AWS CloudHSM . È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.
Problema: se si supera la capacità chiave del cluster entro un breve periodo di tempo, il client entra HSMs in uno stato di errore non gestito
-
Impatto: quando il client incontra l'errore non gestito, si blocca e deve essere riavviato.
-
Soluzione. prova il throughput per garantire che non vengono cerate chiavi di sessione a una velocità che il client non è in grado di gestire. È possibile ridurre la velocità aggiungendo un HSM al cluster o rallentando la creazione di chiavi di sessione.
-
Stato della risoluzione: questo problema è stato risolto nella versione 1.1.2 del client AWS CloudHSM . È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.
Problema: le operazioni digest con le chiavi HMAC di dimensioni superiori a 800 byte non sono supportate
-
Impatto: le chiavi HMAC di dimensioni superiori a 800 byte possono essere generate o importate in HSM. Tuttavia, se si utilizza questa chiave di dimensioni maggiori in un'operazione digest tramite JCE o key_mgmt_util, l'operazione avrà esito negativo. Tieni presente che, se stai utilizzando PKCS11, le chiavi HMAC sono limitate a una dimensione di 64 byte.
-
Soluzione. se si utilizzano le chiavi HMAC per le operazioni digest su HSM, assicurarsi che la dimensione sia inferiore a 800 byte.
-
Stato risoluzione: nessuno in questo momento.
Problema: lo strumento client_info distribuito con Client SDK 3 elimina il contenuto del percorso specificato dall'argomento di output opzionale
-
Impatto: tutti i file e le sottodirectory esistenti nel percorso di output specificato potrebbero andare persi definitivamente.
-
Soluzione alternativa: non utilizzare l'argomento opzionale
-outputquando si utilizza lo strumentopathclient_info. -
Stato della risoluzione: questo problema è stato risolto nella versione 3.3.2 dell'SDK del client. È necessario effettuare l'upgrade a questo client per sfruttare i vantaggi offerti dalla soluzione.
Problema: viene visualizzato un errore durante l'esecuzione dello strumento di configurazione SDK 5 utilizzando l'argomento --cluster-id in ambienti containerizzati
Quando utilizzi l'argomento --cluster-id con lo strumento di configurazione, viene visualizzato l'errore seguente:
No credentials in the property bag
Questo errore è causato da un aggiornamento a Instance Metadata Service versione 2 (). IMDSv2 Per ulteriori informazioni, consulta la documentazione IMDSv2.
-
Impatto: questo problema riguarderà gli utenti che eseguono lo strumento di configurazione nelle versioni SDK 5.5.0 e successive in ambienti containerizzati e utilizzano EC2 i metadati dell'istanza per fornire le credenziali.
-
Soluzione alternativa: imposta il limite dell'hop di risposta PUT su almeno due. Per indicazioni su come eseguire questa operazione, consulta Configurare le opzioni dei metadati dell'istanza.
Problema: viene visualizzato l'errore «Impossibile creare il certificato o la chiave dal file pfx fornito. Errore: 8" NotPkcs
-
Soluzione alternativa: puoi convertire la chiave privata SSL personalizzata in PKCS8 formato con il comando openssl:
openssl pkcs8 -topk8 -inform PEM -outform PEM -inssl_private_key-outssl_private_key_pkcs8 -
Stato della risoluzione: questo problema è stato risolto nella versione client SDK 5.12.0. È necessario eseguire l'aggiornamento a questa versione del client o a una versione successiva per usufruire della correzione.
