将你的 PKCS #11 库从客户端 SDK 3 迁移到客户端 SDK 5

使用本主题将您的 PKCS #11 库从客户端 SDK 3 迁移到客户端 SDK 5。有关迁移的好处，请参阅客户端软件开发工具包 5 的优点。

在中 AWS CloudHSM，客户应用程序使用 AWS CloudHSM 客户端软件开发套件 (SDK) 执行加密操作。客户端 SDK 5 是主要 SDK，它继续添加新功能和平台支持。

要查看所有提供商的迁移说明，请参阅从客户端软件开发工具包 3 迁移到客户端软件开发工具包 5。

通过解决重大变化做好准备

查看这些重大更改，并在开发环境中相应地更新您的应用程序。

包装机制已改变

客户端 SDK 3 机制	等效客户端 SDK 5 机制
`CKM_AES_KEY_WRAP`	`CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD`
`CKM_AES_KEY_WRAP_PAD`	`CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD`
`CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD`	`CKM_CLOUDHSM_AES_KEY_WRAP_PKCS5_PAD`
`CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD`	`CKM_CLOUDHSM_AES_KEY_WRAP_NO_PAD`
`CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD`	`CKM_CLOUDHSM_AES_KEY_WRAP_ZERO_PAD`

ECDH

在客户端 SDK 3 中，您可以使用 ECDH 并指定 KDF。此功能目前在客户端 SDK 5 中不可用。如果您的应用程序需要此功能，请联系支持人员。

按键手柄现在是特定于会话的

要在客户端软件开发工具包 5 中成功使用密钥句柄，您必须每次运行应用程序时均获得密钥句柄。如果您现有的应用程序将在不同的会话中使用相同的密钥句柄，则每次运行应用程序时都必须修改代码以获取密钥句柄。有关检索密钥句柄的信息，请参阅此 AWS CloudHSM PKCS #11 示例。此更改符合 PKCS #11 2.40 规范。

迁移到客户端 SDK 5

按照本节中的说明从客户端 SDK 3 迁移到客户端 SDK 5。

注意

客户端 SDK 5 目前不支持亚马逊 Linux、Ubuntu 16.04、Ubuntu 18.04、CentOS 6、CentOS 8 和 RHEL 6。如果您目前正在将其中一个平台与客户端 SDK 3 一起使用，则在迁移到客户端 SDK 5 时需要选择其他平台。

卸载客户端 SDK 3 的 PKCS #11 库。

卸载客户端 SDK 的客户端守护程序 3。

注意

需要再次启用自定义配置。

按照中的步骤安装客户端 SDK PKCS #11 库。为客户端 SDK 5 安装 PKCS #11 库
客户端 SDK 5 引入了一种新的配置文件格式和命令行引导工具。要引导您的 Client SDK 5 PKCS #11 库，请按照用户指南中列出的说明进行操作。引导客户端软件开发工具包
在您的开发环境中，测试您的应用程序。在最终迁移之前，对现有代码进行更新，以解决重大更改。