选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

的开放式SSL动态引擎的已知问题 AWS CloudHSM

聚焦模式
的开放式SSL动态引擎的已知问题 AWS CloudHSM - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

以下是开放式SSL动态引擎的已知问题 AWS CloudHSM。

问题:你无法在 RHEL 6 和 Cent 上安装 AWS CloudHSM Open SSL Dynamic 引擎 OS6

  • 影响:开放式SSL动态引擎仅支持 Open SSL 1.0.2 [f+]。默认情况下,RHEL6 和 CentOS 6 与 Open 1. SSL 0.1 一起提供。

  • 解决办法:将 RHEL 6 和 CentOS 6 上的开放SSL库升级到版本 1.0.2 [f+]。

问题:默认RSA情况下HSM仅支持卸载到

  • 影响:为了最大限度地提高性能,未将配置为卸载其他功能,例如随机数生成或 EC-DH 操作。SDK

  • 解决方法:如果您需要卸载其他操作,请建立一个支持案例来与我们联系。

  • 解析状态:我们正在增加SDK对通过配置文件配置卸载选项的支持。当该更新可用时,将在版本历史记录页面中公布。

问题:不支持使用密钥进行OAEP填充RSA加密和解密 HSM

  • 影响:任何使用OAEP填充进行RSA加密和解密的调用都将失败并显示错误。 divide-by-zero之所以出现这种情况,是因为 Open SSL 动态引擎使用假PEM文件在本地调用操作,而不是将操作卸载到HSM。

  • 解决方法:您可以使用PKCS#11 AWS CloudHSM 客户端 SDK 5 的库适用于 AWS CloudHSM Client SDK 5 的 JCE 提供程序执行此过程。

  • 解决状态:我们正在向添加支持,SDK以正确卸载此操作。当该更新可用时,将在版本历史记录页面中公布。

问题:只有私钥生成RSA和ECC密钥才会转移到 HSM

对于任何其他密钥类型,Open SSL AWS CloudHSM 引擎不用于呼叫处理。改用本地 Open SSL 引擎。这将在本地生成一个软件密钥。

  • 影响:由于故障转移处于静默状态,因此没有迹象表明您尚未收到在上安全生成的密钥HSM。"...........++++++"如果密钥由 Open in Software 在本地生成,则会看到包含该字符串SSL的输出跟踪。将操作转移到时,不存在此跟踪。HSM由于密钥不是生成或存储在上的HSM,因此将无法将来使用。

  • 解决办法:仅将 Open SSL 引擎用于其支持的密钥类型。对于所有其他密钥类型,请使用 PKCS #11 或JCE在应用程序key_mgmt_util中使用,或者在CLI.

问题:你无法在 RHEL 8、CentOS 8 或 Ubuntu 18.0 SDK 4 上安装适用于客户端 3 的开放式SSL动态引擎 LTS

  • 影响:默认情况下,RHEL8、CentOS 8和Ubuntu 18.04 LTS 发布的开放版本与客户端 3 SSL 的开放式SSL动态引擎不兼容。SDK

  • 解决办法:使用支持开放式SSL动态引擎的 Linux 平台。有关支持的平台的更多信息,请参阅支持的平台

  • 解析状态: AWS CloudHSM 通过适用于客户端 SDK 5 的开放式SSL动态引擎支持这些平台。有关更多信息,请参阅支持的平台开放式SSL动态引擎

问题:SHA-1 在 RHEL 9 (9.2+) 上签署并验证弃用情况

  • 影响:RHEL9 (9.2+) 中已不建议出于加密目的使用 SHA -1 消息摘要。因此,使用 Open D SSL ynamic Engine 用 SHA -1 签名并验证操作将失败。

  • 解决办法:如果您的场景要求使用 SHA -1 来签署/验证现有或第三方加密签名,请参阅增强RHEL安全性:了解 RHEL 9 (9.2+) 和 RHEL9 (9.2 +) 发行说明中已弃用 SHA -1 以了解更多详细信息。

问题: AWS CloudHSM Open SSL Dynamic Engine 与 Open SSL v FIPS 3.x 的提供程序不兼容

  • 影响:在 Open SSL 版本 3.x 中启用 AWS CloudHSM 开放SSL动态引擎时,如果您尝试使用开放式动态引擎,则会收到错误消息。FIPS

  • 解决办法:要在 AWS CloudHSM Open 3.x SSL 版本中使用开放SSL动态引擎,请确保配置了 “默认” 提供程序。在开放SSL网站上阅读有关默认提供商的更多信息。

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。