适用于 OpenSSL 动态引擎的已知问题 AWS CloudHSM

影响：OpenSSL 动态引擎仅支持 OpenSSL 1.0.2[f+]。默认情况下，RHEL 6 和 CentOS 6 都附带了 OpenSSL 1.0.1。

解决方法：将 RHEL 6 和 CentOS 6 上的 OpenSSL 库升级到版本 1.0.2[f+]。

影响：为了最大限度地提高性能，开发工具包未配置为卸载其他函数，例如随机数生成或 EC-DH 操作。

解决方法：如果您需要卸载其他操作，请建立一个支持案例来与我们联系。

解决状态：我们正在增加开发工具包支持，来通过配置文件配置卸载选项。当该更新可用时，将在版本历史记录页面中公布。

影响：任何使用 OAEP 填充的 RSA 加密和解密调用都将失败并显示错误。 divide-by-zero出现这种情况的原因是，OpenSSL 动态引擎使用伪造的 PEM 文件在本地调用该操作，而不是将该操作分流到 HSM。

解决方法：您可以使用PKCS #11 适用于 AWS CloudHSM 客户端 SDK 的库 5或适用于 AWS CloudHSM Client SDK 5 的 JCE 提供程序执行此过程。

解决状态：我们正在添加对开发工具包的支持以正确分载此操作。当该更新可用时，将在版本历史记录页面中公布。

影响：由于故障转移没有提示，因此，没有迹象表明您尚未收到在 HSM 上安全生成的密钥。如果 OpenSSL 在本地生成了软件密钥，则您会看到含有字符串 "...........++++++" 的输出跟踪。将操作分流到 HSM 时，此跟踪将不复存在。由于 HSM 上没有生成或存储密钥，因此，以后将无法使用该密钥。

解决方法：仅为 OpenSSL 引擎支持的密钥类型使用此类引擎。对于所有其他密钥类型，在应用程序中使用 PKCS #11 或 JCE，或者在 CLI 中使用 key_mgmt_util。

影响：默认情况下，RHEL 8、CentOS 8 和 Ubuntu 18.04 LTS 发布的 OpenSSL 版本与客户端软件开发工具包 3 的 OpenSSL Dynamic Engine 不兼容。

变通办法：使用支持 OpenSSL Dynamic Engine 的 Linux 平台。有关支持的平台的更多信息，请参阅支持的平台。

解析状态：使用适用于客户端 SDK 5 的 OpenSSL 动态引擎 AWS CloudHSM 支持这些平台。有关更多信息，请参阅支持的平台和 OpenSSL Dynamic Engine。

影响：在 RHEL 9（9.2+）中，已弃用使用 SHA-1 消息摘要进行加密。因此，使用 OpenSSL 动态引擎通过 SHA-1 执行签名和验证操作将失败。

解决办法：如果您的场景需要使用 SHA-1 来签名/验证现有或第三方加密签名，请参阅Enhancing RHEL Security: Understanding SHA-1 deprecation on RHEL 9 (9.2+) 和 RHEL 9（9.2+）发行注记以了解更多详细信息。

影响：在 OpenSSL 版本 3.x 中启用 FIPS 提供程序时，如果您尝试使用 AWS CloudHSM OpenSSL 动态引擎，则会收到错误消息。

解决办法：要在 AWS CloudHSM OpenSSL 3.x 版本中使用 OpenSSL 动态引擎，请确保配置了 “默认” 提供程序。在 OpenSSL 网站上阅读有关默认提供程序的更多信息。