翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# の OpenSSL Dynamic Engine の既知の問題 AWS CloudHSM
<a name="ki-openssl-sdk"></a>

 AWS CloudHSM用の OpenSSL Dynamic Engine SDK の既知の問題があります

**Topics**
+ [問題: RHEL 6 および CentOS6 に AWS CloudHSM OpenSSL Dynamic Engine をインストールできない](#ki-openssl-1)
+ [[問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています](#ki-openssl-2)
+ [問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。](#ki-openssl-3)
+ [[Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。](#ki-openssl-4)
+ [問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない](#ki-openssl-5)
+ [問題: RHEL 9 (9.2 以降) での SHA-1 署名と検証の非推奨になっています。](#ki-openssl-6)
+ [問題: AWS CloudHSM OpenSSL Dynamic Engine が OpenSSL v3.x の FIPS プロバイダーと互換性がない](#ki-openssl-7)
+ [問題: SDK 5.16 以降、TLS 1.0 および TLS 1.1 の ECDSA 暗号スイートで SSL/TLS オフロードが失敗する](#ki-openssl-8)

## 問題: RHEL 6 および CentOS6 に AWS CloudHSM OpenSSL Dynamic Engine をインストールできない
<a name="ki-openssl-1"></a><a name="openssl-default-version"></a>
+ **影響:** OpenSSL Dynamic Engineは [OpenSSL 1.0.2[f\+] のみをサポートしています](client-supported-platforms.md)。デフォルトでは、RHEL 6 と CentOS 6 には OpenSSL 1.0.1 が付属します。
+ **回避方法:** RHEL 6 および CentOS 6 の OpenSSL ライブラリをバージョン 1.0.2[f\+] にアップグレードします。

## [問題] デフォルトでは、HSM への RSA オフロードのみがサポートされています
<a name="ki-openssl-2"></a>
+ [**影響**]: パフォーマンスを最大限に高めるために、SDK は乱数生成や EC-DH オペレーションなどの追加機能をオフロードするように構成されていません。
+ [**Workaround** ( 回避策 ) ]: 追加のオペレーションをオフロードする必要がある場合は、サポートケースを通じてお問い合わせください。
+ [**Resolution status** ( 解決策のステータス )]: オフロードオプションを設定ファイルで設定するための SDK へのサポートを追加しています。更新は、利用可能なバージョン履歴ページで告知されます。

## 問題: HSM でキーを使用した OAEP パディングによる RSA 暗号化および復号化がサポートされていません。
<a name="ki-openssl-3"></a>
+ **影響: ** OAEP パディングによる RSA 暗号化および復号化に対するすべての呼び出しが、ゼロ除算エラーにより失敗します。これは、OpenSSL 動的エンジンがオペレーションを HSM にオフロードせずにフェイク PEM ファイルを使用してオペレーションをローカルで呼び出すために発生します。
+ **解決策: **[AWS CloudHSM クライアント SDK 5 用の PKCS \#11 ライブラリ](pkcs11-library.md) または [AWS CloudHSM クライアント SDK 5 の JCE プロバイダー](java-library.md) を使用してこの手順を実行できます。
+ **解決策のステータス: **このオペレーションを正しくオフロードする SDK のサポートを追加する予定です。更新は、利用可能なバージョン履歴ページで告知されます。

## [Issue: (問題)] RSA のプライベートキー世代および ECC キーのみが HSM にオフロードされます。
<a name="ki-openssl-4"></a>

他のキータイプでは、OpenSSL AWS CloudHSM エンジンは通話処理には使用されません。代わりに、ローカルの OpenSSL エンジンが使用されます。これによって、ソフトウェアでローカルにキーが生成されます。
+ [**影響 :**] フェイルオーバーがサイレントのため、HSM で安全に生成されたキーを受信していないことが確認できません。キーがソフトウェアで OpenSSL によってローカルで生成された場合、文字列 `"...........++++++"` を含む出力トレースが表示されます。オペレーションが HSM にオフロードされた場合には、このトレースは存在しません。キーが生成されていない、あるいは HSM に保存されていないため、キーを今後使用することはできません。]
+ [**Workaround:** ( 回避方法 )] OpenSSL エンジンがサポートするキータイプのみを使用します。その他のすべてのキータイプには、PKCS\#11 あるいは JCE をアプリケーションで使用するか、または `key_mgmt_util` を CLI で使用します。

## 問題: RHEL 8、CentOS 8、 Ubuntu 18.04 LTS にクライアント SDK 3 用の OpenSSL Dynamic Engine をインストールできない
<a name="ki-openssl-5"></a>
+ **影響:** デフォルトでは、RHEL 8、CentOS 8、Ubuntu 18.04 LTSは、クライアント SDK 3 用 OpenSSL Dynamic Engine と互換性がないバージョンを出荷しています。
+ **防止策:** OpenSSL 動的エンジン 対応の Linux プラットフォームを使用してください。対応プラットフォームの詳細は、[対応プラットフォーム](client-supported-platforms.md) を参照してください。
+ **解決ステータス: ** AWS CloudHSM は、クライアント SDK 5 用の OpenSSL Dynamic Engine でこれらのプラットフォームをサポートします。詳細については、[対応プラットフォーム](client-supported-platforms.md) および [OpenSSL Dynamic Engine](openssl-library.md) を参照してください。

## 問題: RHEL 9 (9.2 以降) での SHA-1 署名と検証の非推奨になっています。
<a name="ki-openssl-6"></a>
+ **影響: ** 暗号化目的での SHA-1 メッセージ ダイジェストの使用は、RHEL 9 (9.2 以降) で非推奨になりました。その結果、OpenSSL Dynamic Engine を使用した SHA-1 による署名と検証オペレーションは失敗します。
+ **回避策: **シナリオで既存またはサードパーティーの暗号化署名の署名/検証に SHA-1 を使用する必要がある場合は、「[nhancing RHEL Security: Understanding SHA-1 deprecation on RHEL 9 (9.2 以降)](https://www.redhat.com/en/blog/rhel-security-sha-1-package-signatures-distrusted-rhel-9)」 および「[RHEL 9 (9.2\+) Release Notes](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview)」を参照してください。

## 問題: AWS CloudHSM OpenSSL Dynamic Engine が OpenSSL v3.x の FIPS プロバイダーと互換性がない
<a name="ki-openssl-7"></a>
+ **影響: **FIPS プロバイダーが AWS CloudHSM OpenSSL バージョン 3.x で有効になっているときに OpenSSL Dynamic Engine を使用しようとすると、エラーが発生します。
+ **回避策: ** AWS CloudHSM OpenSSL バージョン 3.x で OpenSSL Dynamic Engine を使用するには、「デフォルト」プロバイダーが設定されていることを確認します。[OpenSSL ウェブサイト](https://www.openssl.org/docs/man3.0/man7/OSSL_PROVIDER-default.html) でデフォルトのプロバイダーの詳細をご覧ください。

## 問題: SDK 5.16 以降、TLS 1.0 および TLS 1.1 の ECDSA 暗号スイートで SSL/TLS オフロードが失敗する
<a name="ki-openssl-8"></a>
+ **影響: **TLS 1.0 および TLS 1.1 では署名に SHA-1 が使用されますが、これは [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) の要件を満たさないため、これらのバージョンで接続を試みると失敗します。
+ **回避策: **TLS バージョンをすぐにアップグレードできない場合は、ハッシュ強度要件を適用しない 非 FIPS クラスターへ移行することができます。ただし、FIPS 準拠およびセキュリティのベストプラクティスの観点からは、TLS 1.2 または TLS 1.3 へのアップグレードをお勧めします。
+ **解決策: **実装を TLS 1.2 または TLS 1.3 を使用するようにアップグレードしてください。TLS 1.0 と TLS 1.1 は、セキュリティ上の懸念から IETF (Internet Engineering Task Force) によって[非推奨](https://datatracker.ietf.org/doc/rfc8996/)となっています。