所有 HSM 執行個體的已知問題 - AWS CloudHSM
問題:AES 金鑰包裝使用 PKCS #5 填補,而不是使用零填補的金鑰包裝標準合規實作。問題:用戶端常駐程式的組態檔案中至少要有一個有效的 IP 地址,才能成功連接到叢集。問題:可以 AWS CloudHSM 使用用戶端 SDK 3 雜湊和簽署的資料上限為 16 KB問題:無法將匯入的金鑰指定為不可匯出。問題:已移除 wrapKey 和 key_mgmt_util 中的 unWrapKey指令的預設機制問題:如果在您的叢集中有單一 HSM,HSM 容錯移轉無法正常運作。問題:如果您在短期內超過您叢集中 HSM 的金鑰容量,用戶端會進入未處理的錯誤狀態。問題:不支援使用 800 位元組以上的 HMAC 金鑰進行摘要操作。問題:隨用戶端 SDK 3 散發的 client_info 工具會刪除選用輸出引數所指定的路徑內容問題:在容器化環境中使用 --cluster-id 引數執行 SDK 5 設定工具時收到錯誤。問題:您收到錯誤「無法從提供的 pfx 檔案建立憑證/金鑰。錯誤: NotPkcs8 吋

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

所有 HSM 執行個體的已知問題

下列問題會影響所有使用 AWS CloudHSM 者,不論使用者是否使用 key_mgmt_util 命令列工具、PKCS #11 SDK、JCE SDK 或 OpenSSL SDK。

問題:AES 金鑰包裝使用 PKCS #5 填補,而不是使用零填補的金鑰包裝標準合規實作。

此外,不支援無填補和零填補的金鑰包裝。

  • 影響:如果您在 AWS CloudHSM中使用此演算法進行包裝和展開,則不會產生任何影響。但是,包裝的金鑰 AWS CloudHSM 無法在預期符合無填補規格的其他 HSM 或軟體中解包。這是因為在標準合規取消包裝期間,系統可能會在金鑰資料後加上 8 個位元組的資料填補。外部包裝的金鑰無法正確解包至 AWS CloudHSM 實體中。

  • 因應措施:若要將在 AWS CloudHSM 執行個體上使用含 PKCS #5 填補的「AES 金鑰包裝」包裝的金鑰在外部取消包裝,在嘗試使用該金鑰前請先去除額外的填補。您可以在檔案編輯器裁剪額外的位元組,或是只將金鑰的位元組複製到程式碼中的新緩衝區。

  • 解決方案狀態:在 3.1.0 用戶端和軟體版本中, AWS CloudHSM 為 AES 金鑰包裝提供符合標準的選項。如需詳細資訊,請參閱AES 金鑰包裝

問題:用戶端常駐程式的組態檔案中至少要有一個有效的 IP 地址,才能成功連接到叢集。

  • 影響:如果您刪除叢集中的每個 HSM,然後新增另一個 HSM,該 HSM 會得到新 IP 地址,而用戶端協助程式會繼續在原來的 IP 地址搜尋您的 HSM。

  • 因應措施:如果您執行間歇性的工作負載,建議您使用CreateHsmIpAddress數中的引數將 elastic network interface (ENI) 設定為其原始值。請注意,ENI 為可用區域 (AZ) 專用。另一個替代的做法是,刪除 /opt/cloudhsm/daemon/1/cluster.info 檔案,然後將用戶端組態重設為新 HSM 的 IP 地址。您也可以使用 client -a <IP address> 命令。如需詳細資訊,請參閱安裝和設定 AWS CloudHSM 用戶端 (Linux)安裝和設定 AWS CloudHSM 用戶端 (Windows)

問題:可以 AWS CloudHSM 使用用戶端 SDK 3 雜湊和簽署的資料上限為 16 KB

  • 解決狀態:會將小於 16KB 的資料繼續傳送至 HSM 進行雜湊處理。我們已新增可在本機、軟體、大小在 16KB 與 64KB 之間的資料進行雜湊處理的功能。如果資料緩衝區大於 64KB,用戶端 SDK 5 將會明確失敗。您必須將用戶端和 SDK 更新為大於 5.0.0 或更高版本,才能從此修正中受益。

問題:無法將匯入的金鑰指定為不可匯出。

  • 解決狀態: 已修正此問題。您的部分無須採取任何動作,即可受益於修正。

問題:已移除 wrapKey 和 key_mgmt_util 中的 unWrapKey指令的預設機制

  • 解析度:使用 wrapKey 或指 unWrapKey 令時,您必須使用-m選項來指定機制。如需詳細資訊,請參閱 wrapKeyunWrapKey文章中的範例。

問題:如果在您的叢集中有單一 HSM,HSM 容錯移轉無法正常運作。

  • 影響:如果您叢集中的單一 HSM 執行個體失去連線,即使之後還原 HSM 執行個體,用戶端也將不會與此執行個體連線。

  • 因應措施:我們建議至少在任一生產叢集中執行兩個 HSM 執行個體。如果您使用此組態,您將不會受到此問題影響。如果是單一 HSM 叢集,請退回用戶端協助程式,以還原連線。

  • 解決狀態:此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。

問題:如果您在短期內超過您叢集中 HSM 的金鑰容量,用戶端會進入未處理的錯誤狀態。

  • 影響:用戶端遇到未處理的錯誤狀態時,用戶端會凍結且必須重新啟動。

  • 因應措施:請測試您的傳輸量,以確保您並非以用戶端無法處理的速率建立工作階段金鑰。您可以新增 HSM 至叢集,或減慢工作階段金鑰的建立速度,藉以降低速率。

  • 解決狀態:此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。

問題:不支援使用 800 位元組以上的 HMAC 金鑰進行摘要操作。

  • 影響:800 位元組以上的 HMAC 金鑰可以在 HSM 上產生或匯入 HSM。然而,如果您透過 JCE 或 key_mgmt_util 在摘要操作中使用較大的金鑰,此次操作將會失敗。請注意,如果您使用 PKCS11,HMAC 金鑰的大小限制為 64 位元組。

  • 因應措施:如果您將 HMAC 金鑰用於 HSM 上的摘要操作,請大小小於 800 位元組。

  • 解決狀態:此時並無。

問題:隨用戶端 SDK 3 散發的 client_info 工具會刪除選用輸出引數所指定的路徑內容

  • 影響:指定輸出路徑下的所有現有檔案和子目錄可能永久遺失。

  • 因應措施:使用 client_info 工具時,請勿使用選用引數 -output path

  • 解決狀態:此狀態已在用戶端 3.3.2 版本中解決。您必須升級到此用戶端,以受益於此修正。

問題:在容器化環境中使用 --cluster-id 引數執行 SDK 5 設定工具時收到錯誤。

使用 --叢集-id 引數搭配使用 [設定工具] 時,您會收到下列錯誤:

No credentials in the property bag

執行個體中繼資料服務版本 2 (IMDSv2) 的更新造成此錯誤。如需詳細資訊,請參閱 IMDSv2 文件。

  • 影響:此問題會影響在容器化環境中在 SDK 5.5.0 及更新版本上執行設定工具的使用者,以及使用 EC2 執行個體中繼資料提供憑證。

  • 因應措施:將 PUT 回應躍點限制設定為至少兩個。如需如何執行此動作的指引,請參閱設定執行個體中繼資料選項

問題:您收到錯誤「無法從提供的 pfx 檔案建立憑證/金鑰。錯誤: NotPkcs8 吋

  • 影響:如果使用者的私密金鑰不是 PKCS8 格式,則使用憑證和私密金鑰重新設定 SSL 的 SDK 5.11.0 使用者將會失敗。

  • 因應措施:您可以使用 openssl 命令將自訂 SSL 私密金鑰轉換為 PKCS8 格式:openssl pkcs8 -topk8 -inform PEM -outform PEM -in ssl_private_key -out ssl_private_key_pkcs8

  • 解決方案狀態:戶端 SDK 5.12.0 發行版本中已解決此問題。您必須升級至此用戶端版本或更新版本,才能從此修正中獲益。