本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
下列問題會影響 AWS CloudHSM 所有使用者,無論他們是使用 key_mgmt_util 命令列工具、PKCS #11 SDK、JCE SDK 或 OpenSSL SDK。
主題
問題:AES 金鑰包裝使用 PKCS #5 填補,而不是使用零填補的金鑰包裝標準合規實作。
此外,不支援無填補和零填補的金鑰包裝。
-
影響:如果您使用此演算法包裝和取消包裝,則不會受到影響 AWS CloudHSM。不過,包裝 的金鑰 AWS CloudHSM 不能在預期符合無填補規格的其他 HSMs 或軟體內取消包裝。這是因為在標準合規取消包裝期間,系統可能會在金鑰資料後加上 8 個位元組的資料填補。外部包裝的金鑰無法正確取消包裝至 AWS CloudHSM 執行個體。
-
因應措施:若要將在 AWS CloudHSM 執行個體上使用含 PKCS #5 填補的「AES 金鑰包裝」包裝的金鑰在外部取消包裝,在嘗試使用該金鑰前請先去除額外的填補。您可以在檔案編輯器裁剪額外的位元組,或是只將金鑰的位元組複製到程式碼中的新緩衝區。
-
解決方案狀態:在 3.1.0 用戶端和軟體版本中, AWS CloudHSM 為 AES 金鑰包裝提供符合標準的選項。如需詳細資訊,請參閱AES 金鑰包裝。
問題:用戶端常駐程式的組態檔案中至少要有一個有效的 IP 地址,才能成功連接到叢集。
-
影響:如果您刪除叢集中的每個 HSM,然後新增另一個 HSM,該 HSM 會得到新 IP 地址,而用戶端協助程式會繼續在原來的 IP 地址搜尋您的 HSM。
-
因應措施:如果您執行不穩定的工作負載,建議您在 CreateHsm 函數中使用
IpAddress參數,將彈性網絡介面 (ENI) 設定為其原始值。請注意,ENI 為可用區域 (AZ) 專用。另一個替代的做法是,刪除/opt/cloudhsm/daemon/1/cluster.info檔案,然後將用戶端組態重設為新 HSM 的 IP 地址。您也可以使用client -a命令。如需詳細資訊,請參閱安裝和設定用戶端 AWS CloudHSM (Linux) 或安裝和設定 AWS CloudHSM 用戶端 (Windows)。<IP address>
問題:資料上限為 16 KB,可使用 AWS CloudHSM 用戶端 SDK 3 進行雜湊和簽署
-
解決狀態:會將小於 16KB 的資料繼續傳送至 HSM 進行雜湊處理。我們已新增可在本機、軟體、大小在 16KB 與 64KB 之間的資料進行雜湊處理的功能。如果資料緩衝區大於 64KB,用戶端 SDK 5 將明確失敗。您必須將用戶端和 SDK 更新至大於 5.0.0 或更新版本的版本,才能從修正中獲益。
問題:匯入的金鑰無法指定為不可匯出
-
解決狀態: 已修正此問題。您的部分無須採取任何動作,即可受益於修正。
問題:key_mgmt_util 中的 wrapKey 和 unWrapKey 命令預設機制已移除。
問題:如果在您的叢集中有單一 HSM,HSM 容錯移轉無法正常運作。
-
影響:如果您叢集中的單一 HSM 執行個體失去連線,即使之後還原 HSM 執行個體,用戶端也將不會與此執行個體連線。
-
因應措施:我們建議至少在任一生產叢集中執行兩個 HSM 執行個體。如果您使用此組態,您將不會受到此問題影響。如果是單一 HSM 叢集,請退回用戶端協助程式,以還原連線。
-
解決狀態:此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。
問題:如果您在短期內超過您叢集中 HSM 的金鑰容量,用戶端會進入未處理的錯誤狀態。
-
影響:用戶端遇到未處理的錯誤狀態時,用戶端會凍結且必須重新啟動。
-
因應措施:請測試您的傳輸量,以確保您並非以用戶端無法處理的速率建立工作階段金鑰。您可以新增 HSM 至叢集,或減慢工作階段金鑰的建立速度,藉以降低速率。
-
解決狀態:此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。
問題:不支援使用 800 位元組以上的 HMAC 金鑰進行摘要操作。
-
影響:800 位元組以上的 HMAC 金鑰可以在 HSM 上產生或匯入 HSM。然而,如果您透過 JCE 或 key_mgmt_util 在摘要操作中使用較大的金鑰,此次操作將會失敗。請注意,如果您使用 PKCS11,HMAC 金鑰的大小限制為 64 位元組。
-
因應措施:如果您將 HMAC 金鑰用於 HSM 上的摘要操作,請大小小於 800 位元組。
-
解決狀態:此時並無。
問題:隨用戶端 SDK 3 散發的 client_info 工具會刪除選用輸出引數所指定的路徑內容
-
影響:指定輸出路徑下的所有現有檔案和子目錄可能永久遺失。
-
因應措施:使用
client_info工具時,請勿使用選用引數-output。path -
解決狀態:此狀態已在用戶端 3.3.2 版本中解決。您必須升級到此用戶端,以受益於此修正。
問題:在容器化環境中使用 --cluster-id 引數執行 SDK 5 設定工具時收到錯誤。
使用 --叢集-id 引數搭配使用 [設定工具] 時,您會收到下列錯誤:
No credentials in the property bag
執行個體中繼資料服務版本 2 (IMDSv2) 的更新造成此錯誤。如需詳細資訊,請參閱 IMDSv2 文件。
-
影響:此問題會影響在容器化環境中在 SDK 5.5.0 及更新版本上執行設定工具的使用者,以及使用 EC2 執行個體中繼資料提供憑證。
-
解決方法:將 PUT 回應跳轉限制設定為至少兩個。如需如何執行此操作的指引,請參閱設定執行個體中繼資料選項。
問題:您收到錯誤「無法從提供的 pfx 檔案建立 cert/key。錯誤:NotPkcs8"
-
解決方法:您可以使用 openssl 命令將自訂 SSL 私有金鑰轉換為 PKCS8 格式:
openssl pkcs8 -topk8 -inform PEM -outform PEM -inssl_private_key-outssl_private_key_pkcs8 -
解決狀態:此問題已在用戶端 SDK 5.12.0 版本中解決。您必須升級至此用戶端版本 或更新版本,才能從修正中獲益。
