本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
以下是开放式SSL动态引擎的已知问题 AWS CloudHSM。
主题
- 问题:你无法在 RHEL 6 和 Cent 上安装 AWS CloudHSM Open SSL Dynamic 引擎 OS6
- 问题:默认RSA情况下HSM仅支持卸载到
- 问题:不支持使用密钥进行OAEP填充RSA加密和解密 HSM
- 问题:只有私钥生成RSA和ECC密钥才会转移到 HSM
- 问题:你无法在 RHEL 8、CentOS 8 或 Ubuntu 18.0 SDK 4 上安装适用于客户端 3 的开放式SSL动态引擎 LTS
- 问题:SHA-1 在 RHEL 9 (9.2+) 上签署并验证弃用情况
- 问题: AWS CloudHSM Open SSL Dynamic Engine 与 Open SSL v FIPS 3.x 的提供程序不兼容
问题:你无法在 RHEL 6 和 Cent 上安装 AWS CloudHSM Open SSL Dynamic 引擎 OS6
-
影响:开放式SSL动态引擎仅支持 Open SSL 1.0.2 [f+]。默认情况下,RHEL6 和 CentOS 6 与 Open 1. SSL 0.1 一起提供。
-
解决办法:将 RHEL 6 和 CentOS 6 上的开放SSL库升级到版本 1.0.2 [f+]。
问题:默认RSA情况下HSM仅支持卸载到
-
影响:为了最大限度地提高性能,未将配置为卸载其他功能,例如随机数生成或 EC-DH 操作。SDK
-
解决方法:如果您需要卸载其他操作,请建立一个支持案例来与我们联系。
-
解析状态:我们正在增加SDK对通过配置文件配置卸载选项的支持。当该更新可用时,将在版本历史记录页面中公布。
问题:不支持使用密钥进行OAEP填充RSA加密和解密 HSM
-
影响:任何使用OAEP填充进行RSA加密和解密的调用都将失败并显示错误。 divide-by-zero之所以出现这种情况,是因为 Open SSL 动态引擎使用假PEM文件在本地调用操作,而不是将操作卸载到HSM。
-
解决方法:您可以使用PKCS#11 AWS CloudHSM 客户端 SDK 5 的库或适用于 AWS CloudHSM Client SDK 5 的 JCE 提供程序执行此过程。
-
解决状态:我们正在向添加支持,SDK以正确卸载此操作。当该更新可用时,将在版本历史记录页面中公布。
问题:只有私钥生成RSA和ECC密钥才会转移到 HSM
对于任何其他密钥类型,Open SSL AWS CloudHSM 引擎不用于呼叫处理。改用本地 Open SSL 引擎。这将在本地生成一个软件密钥。
-
影响:由于故障转移处于静默状态,因此没有迹象表明您尚未收到在上安全生成的密钥HSM。
"...........++++++"
如果密钥由 Open in Software 在本地生成,则会看到包含该字符串SSL的输出跟踪。将操作转移到时,不存在此跟踪。HSM由于密钥不是生成或存储在上的HSM,因此将无法将来使用。 -
解决办法:仅将 Open SSL 引擎用于其支持的密钥类型。对于所有其他密钥类型,请使用 PKCS #11 或JCE在应用程序
key_mgmt_util
中使用,或者在CLI.
问题:你无法在 RHEL 8、CentOS 8 或 Ubuntu 18.0 SDK 4 上安装适用于客户端 3 的开放式SSL动态引擎 LTS
-
影响:默认情况下,RHEL8、CentOS 8和Ubuntu 18.04 LTS 发布的开放版本与客户端 3 SSL 的开放式SSL动态引擎不兼容。SDK
-
解决办法:使用支持开放式SSL动态引擎的 Linux 平台。有关支持的平台的更多信息,请参阅支持的平台。
-
解析状态: AWS CloudHSM 通过适用于客户端 SDK 5 的开放式SSL动态引擎支持这些平台。有关更多信息,请参阅支持的平台和开放式SSL动态引擎。
问题:SHA-1 在 RHEL 9 (9.2+) 上签署并验证弃用情况
-
影响:RHEL9 (9.2+) 中已不建议出于加密目的使用 SHA -1 消息摘要。因此,使用 Open D SSL ynamic Engine 用 SHA -1 签名并验证操作将失败。
-
解决办法:如果您的场景要求使用 SHA -1 来签署/验证现有或第三方加密签名,请参阅增强RHEL安全性:了解 RHEL 9 (9.2+) 和 RHEL9 (9.2
+) 发行说明中已弃用 SHA -1 以了解更多详细信息。
问题: AWS CloudHSM Open SSL Dynamic Engine 与 Open SSL v FIPS 3.x 的提供程序不兼容
-
影响:在 Open SSL 版本 3.x 中启用 AWS CloudHSM 开放SSL动态引擎时,如果您尝试使用开放式动态引擎,则会收到错误消息。FIPS
-
解决办法:要在 AWS CloudHSM Open 3.x SSL 版本中使用开放SSL动态引擎,请确保配置了 “默认” 提供程序。在开放SSL网站上
阅读有关默认提供商的更多信息。