OpenSSL Dynamic Engine for 的已知問題 AWS CloudHSM

這些是 OpenSSL Dynamic Engine for 的已知問題 AWS CloudHSM。

問題：您無法在 6 和 Cent RHEL 上安裝 AWS CloudHSM OpenSSL Dynamic EngineOS6

影響：OpenSSL Dynamic Engine 僅支援 OpenSSL 1.0.2【f+】。根據預設，6 RHEL 和 CentOS 6 隨附 OpenSSL 1.0.1。
解決方法：將 6 RHEL 上的 OpenSSL 程式庫和 CentOS 6 升級至 1.0.2 版【f+】。

影響：使用OAEP填充進行RSA加密和解密的任何呼叫都會失敗， divide-by-zero但發生錯誤。這是因為 OpenSSL 動態引擎使用假PEM檔案在本機呼叫操作，而不是將操作卸載至 HSM。
因應措施：您可以使用 PKCS AWS CloudHSM 用戶端 5 的 #11 SDK 程式庫或 JCE AWS CloudHSM 用戶端 5 SDK 的提供者執行此程序。
解決狀態：我們正在將支援新增至 SDK，以正確卸載此操作。更新可供使用時即會在版本歷史頁面中公告。

對於任何其他金鑰類型，Open SSL AWS CloudHSM 引擎不會用於呼叫處理。改為使用本機 OpenSSL 引擎。這會在軟體中以本機的方式產生金鑰。

影響：由於容錯移轉是無訊息的，因此沒有跡象顯示您尚未收到在上安全產生的金鑰HSM。"...........++++++" 如果金鑰是由軟體中的 OpenSSL 在本機產生，您會看到包含字串的輸出追蹤。當操作卸載至時，此追蹤不存在HSM。由於金鑰不會產生或儲存在上HSM，因此將無法供日後使用。
因應措施：僅針對其支援的金鑰類型使用 OpenSSL 引擎。對於所有其他金鑰類型，請使用 PKCS #11 JCE 或在應用程式中，或在 key_mgmt_util中使用 CLI。

影響：根據預設，RHEL8、CentOS 8 和 Ubuntu 18.04 LTS會隨附與 OpenSSL Dynamic Engine for Client 3 不相容的 OpenSSL SDK 版本。
因應措施：使用 Linux 平台，為 OpenSSL Dynamic Engine 提供支援。如需關於支援的平台的詳細資訊，請參閱支援的平台。
解析狀態： AWS CloudHSM 支援這些具有 OpenSSL Dynamic Engine for Client 5 SDK 的平台。如需詳細資訊，請參閱支援的平台和開啟SSL動態引擎。

影響：用於密碼編譯目的的 SHA-1 訊息摘要的使用已在 9 （9.2+） RHEL 中取代。因此，使用 OpenSSL Dynamic Engine 使用 SHA-1 簽署並驗證操作會失敗。
解決方法：如果您的案例需要使用 SHA-1 簽署/驗證現有或第三方密碼編譯簽章，請參閱增強RHEL安全性：了解 9 （9.2+）和 RHEL 9 （9.2+）版本備註的 SHA-1 取代，以取得更多詳細資訊。 RHEL

影響：如果您在FIPS供應商啟用 AWS CloudHSM OpenSSL 3.x 版時嘗試使用 OpenSSL Dynamic Engine，則會收到錯誤訊息。
因應措施：若要將 AWS CloudHSM OpenSSL Dynamic Engine 與 OpenSSL 3.x 版搭配使用，請確定已設定「預設」提供者。閱讀 OpenSSL Website 上預設提供者的詳細資訊。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

的已知問題 JCE SDK

執行 Amazon Linux 2 的 Amazon EC2執行個體已知問題