所有HSM執行個體的已知問題 - AWS CloudHSM
問題:AES金鑰包裝使用 PKCS #5 填充,而不是提供符合標準的零填充金鑰包裝實作問題:用戶端常駐程式的組態檔案中至少要有一個有效的 IP 地址,才能成功連接到叢集。問題:資料上限為 16 KB,可透過 AWS CloudHSM 使用 Client 3 SDK 進行雜湊和簽署問題:無法將匯入的金鑰指定為不可匯出。問題:已移除 key_mgmt_util 中 wrapKey 和 unWrapKey 命令的預設機制問題:如果您的叢集HSM中有單一 ,HSM容錯移轉無法正常運作問題:如果您在短時間內超過叢集HSMs中 的金鑰容量,用戶端會進入未處理的錯誤狀態問題:不支援大小大於 800 位元組的HMAC索引鍵摘要操作問題:搭配 Client 3 SDK 分佈的 client_info 工具會刪除選用輸出引數指定的路徑內容問題:在容器化環境中使用 --cluster-id 引數執行 SDK 5 個設定工具時,您會收到錯誤問題:您收到錯誤「無法從提供的 pfx 檔案建立憑證/金鑰。錯誤: NotPkcs8"

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

所有HSM執行個體的已知問題

下列問題會影響 AWS CloudHSM 所有使用者,無論他們是使用 key_mgmt_util 命令列工具、PKCS#11 SDK、 JCE SDK或 OpenSSL SDK。

問題:AES金鑰包裝使用 PKCS #5 填充,而不是提供符合標準的零填充金鑰包裝實作

此外,不支援無填補和零填補的金鑰包裝。

  • 影響:如果您在 內使用此演算法包裝和取消包裝,則不會受到影響 AWS CloudHSM。不過,包裝為 的金鑰 AWS CloudHSM 不能在預期符合無修補規格的其他 HSMs或軟體內取消包裝。這是因為在標準合規取消包裝期間,系統可能會在金鑰資料後加上 8 個位元組的資料填補。外部封裝的金鑰無法正確解壓縮至 AWS CloudHSM 執行個體。

  • 解決方法:若要在外部展開在AWS雲端HSM執行個體上使用 5 PKCS 號填充的AES金鑰包裝的金鑰,請在嘗試使用金鑰之前,先將額外的填充分割。您可以在檔案編輯器裁剪額外的位元組,或是只將金鑰的位元組複製到程式碼中的新緩衝區。

  • 解析狀態:使用 3.1.0 用戶端和軟體版本, AWS CloudHSM 提供符合標準的AES金鑰包裝選項。如需詳細資訊,請參閱AES金鑰包裝

問題:用戶端常駐程式的組態檔案中至少要有一個有效的 IP 地址,才能成功連接到叢集。

  • 影響:如果您刪除叢集HSM中的每個 ,然後新增另一個 HSM,取得新的 IP 地址,用戶端常駐程式會繼續HSMs在其原始 IP 地址搜尋您的 。

  • 解決方法:如果您執行間歇性工作負載,建議您使用CreateHsm函數中的 IpAddress 引數,將彈性網路介面 (ENI) 設定為其原始值。請注意, ENI是可用區域 (AZ) 特有的。另一種方法是刪除 /opt/cloudhsm/daemon/1/cluster.info 檔案,然後將用戶端組態重設為新 的 IP 地址HSM。您也可以使用 client -a <IP address> 命令。如需詳細資訊,請參閱安裝和設定用戶端 AWS CloudHSM (Linux)安裝和設定 AWS CloudHSM 用戶端 (Windows)

問題:資料上限為 16 KB,可透過 AWS CloudHSM 使用 Client 3 SDK 進行雜湊和簽署

  • 解析狀態:小於 16KB 的資料仍會繼續傳送至 HSM 以進行雜湊處理。我們已新增可在本機、軟體、大小在 16KB 與 64KB 之間的資料進行雜湊處理的功能。如果資料緩衝區大於 SDK 64KB,用戶端 5 會明確失敗。您必須將用戶端和 SDK(s) 更新為大於 5.0.0 或更新版本的版本,才能從修正中獲益。

問題:無法將匯入的金鑰指定為不可匯出。

  • 解決狀態: 已修正此問題。您的部分無須採取任何動作,即可受益於修正。

問題:已移除 key_mgmt_util 中 wrapKey 和 unWrapKey 命令的預設機制

  • 解決方案:使用 wrapKey 或 unWrapKey 命令時,您必須使用 -m選項來指定機制。如需詳細資訊,請參閱 wrapKeyunWrapKey文章中的範例。

問題:如果您的叢集HSM中有單一 ,HSM容錯移轉無法正常運作

  • 影響:如果叢集中的單一HSM執行個體失去連線,即使HSM執行個體稍後還原,用戶端也不會重新與其連線。

  • 解決方法:我們建議在任何生產叢集中至少有兩個HSM執行個體。如果您使用此組態,您將不會受到此問題影響。對於單一HSM叢集,請退回用戶端常駐程式以還原連線。

  • 解決狀態:此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。

問題:如果您在短時間內超過叢集HSMs中 的金鑰容量,用戶端會進入未處理的錯誤狀態

  • 影響:用戶端遇到未處理的錯誤狀態時,用戶端會凍結且必須重新啟動。

  • 因應措施:請測試您的傳輸量,以確保您並非以用戶端無法處理的速率建立工作階段金鑰。您可以將 HSM 新增至叢集或減緩工作階段金鑰建立速度,以降低您的速率。

  • 解決狀態:此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。

問題:不支援大小大於 800 位元組的HMAC索引鍵摘要操作

  • 影響:HMAC大於 800 位元組的金鑰可以在 上產生或匯入 HSM。不過,如果您透過 JCE或 key_mgmt_util 在摘要操作中使用這個較大的金鑰,操作將會失敗。請注意,如果您使用的是 PKCS11,HMAC金鑰大小限制為 64 個位元組。

  • 因應措施:如果您要在 上使用HMAC金鑰進行摘要操作HSM,請確保大小小於 800 位元組。

  • 解決狀態:此時並無。

問題:搭配 Client 3 SDK 分佈的 client_info 工具會刪除選用輸出引數指定的路徑內容

  • 影響:指定輸出路徑下的所有現有檔案和子目錄可能永久遺失。

  • 因應措施:使用 client_info 工具時,請勿使用選用引數 -output path

  • 解決狀態:此問題已在 Client SDK 3.3.2 版本 中解決。您必須升級到此用戶端,以受益於此修正。

問題:在容器化環境中使用 --cluster-id 引數執行 SDK 5 個設定工具時,您會收到錯誤

使用 --叢集-id 引數搭配使用 [設定工具] 時,您會收到下列錯誤:

No credentials in the property bag

此錯誤是由於更新執行個體中繼資料服務第 2 版 () 所造成IMDSv2。如需詳細資訊,請參閱 IMDSv2 文件。

  • 影響:此問題會影響在容器化環境中在 5.5.0 版及更新SDK版本上執行設定工具的使用者,並利用EC2執行個體中繼資料提供憑證。

  • 解決方法:將PUT回應跳轉限制設定為至少兩個。如需如何執行此操作的指引,請參閱設定執行個體中繼資料選項

問題:您收到錯誤「無法從提供的 pfx 檔案建立憑證/金鑰。錯誤: NotPkcs8"

  • 影響:SDKSSL使用憑證和私有金鑰重新設定的 5.11.0 使用者,如果其私有金鑰不是 PKCS8 格式,則將失敗。

  • 解決方法:您可以使用 openssl 命令將自訂SSL私有金鑰轉換為PKCS8格式: openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • 解決狀態:此問題已在用戶端 SDK 5.12.0 版本 中解決。您必須升級至此用戶端版本 或更新版本,才能從修正中獲益。