本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS CloudHSM hsm2m.medium 实例的已知问题
以下问题会影响所有 AWS CloudHSM hsm2m.medium 实例。
**Topics**
+ [问题:hsm2m.medium 的登录延迟增加](#ki-hsm2m-medium-1)
+ [问题:hsm2m.medium 上的查找密钥延迟增加](#ki-hsm2m-medium-2)
+ [问题:使用 Client SDK 5.12.0 及更早版本时,尝试设置密钥的可信属性的 CO 将失败](#ki-hsm2m-medium-3)
+ [问题:对于处于 FIPS 模式的集群,使用 Client SDK 5.12.0 及更早版本时,ECDSA 验证将失败](#ki-hsm2m-medium-4)
+ [问题:只有 PEM 格式的证书才能使用 CloudHSM CLI 注册为 mtls 信任锚](#ki-hsm2m-medium-5)
+ [问题:使用带有密码保护的[客户端私有密钥](getting-started-setup-mtls.md#getting-start-setup-mtl-sdk)的 mTLS 时,客户应用程序将停止处理所有请求。](#ki-hsm2m-medium-6)
+ [问题:使用 CloudHSM CLI 时用户复制失败](#ki-hsm2m-medium-7)
+ [问题:创建备份期间操作可能会失败](#ki-hsm2m-medium-8)
+ [问题:在 hsm2m.medium 的某些情况下,Client SDK 5.8 及更高版本不会自动重试受 HSM 限制的操作](#ki-hsm2m-medium-9)
+ [问题:在 hsm2m.medium 上,IV 全部为零的 AES/CBC 解包操作失败](#ki-hsm2m-medium-10)
+ [问题:在 hsm2m.medium 上进行应用程序冷启动期间无法初始化 HSM 连接](#ki-hsm2m-medium-11)
## 问题:hsm2m.medium 的登录延迟增加
+ **影响:**登录 hsm2m.medium 时会对合规性要求进行过于严格的解释,这会导致延迟增加。
+ **解决方案:**如果您在 2025 年 12 月 20 日之前创建了新的 hsm2m.medium 实例或从 hsm1.medium 迁移到 hsm2m.medium,则需要重置密码才能利用我们为登录操作实施的性能改进。有关说明,请参阅[更改密码](cloudhsm_cli-user-change-password.md)。
## 问题:hsm2m.medium 上的查找密钥延迟增加
+ **影响:**与 hsm1.medium HSM 实例相比,hsm2m.medium HSM 实例改进了公平份额架构,从而实现了更稳定的可预测性能。使用 hsm1.medium,由于不定期使用 HSM 资源,客户可能会观察到更高的查找密钥性能。但是,当使用新固件修补或更新 HSM 实例时,hsm1.medium 查找密钥性能会降低。此问题会影响 JCE 中的 `KeyStore.getKey()` 等操作。
+ **解决方案:**此问题已得到解决。最佳实践是缓存查找密钥操作的结果。缓存将减少查找密钥操作的总数,因为这是 HSM 中的资源密集型操作。此外,使用指数回退和抖动实现客户端重试,进而减少 HSM 节流失败。
## 问题:使用 Client SDK 5.12.0 及更早版本时,尝试设置密钥的可信属性的 CO 将失败
+ **影响:**任何尝试设置密钥的可信属性的 CO 用户都将收到一条错误,指示 `User type should be CO or CU`。
+ **解决方法:**Client SDK 的未来版本将解决此问题。更新将在我们的用户指南 [文档历史记录](document-history.md) 中公布。
## 问题:对于处于 FIPS 模式的集群,使用 Client SDK 5.12.0 及更早版本时,ECDSA 验证将失败
+ **影响:** HSMs 在 FIPS 模式下执行的 ECDSA 验证操作将失败。
+ **解决状态:**此问题已在 [Client SDK 5.13.0 发布版](client-version-previous.md#client-version-5-13-0)中解决。您必须升级到此客户端版本或更高版本才能从修复中获益。
## 问题:只有 PEM 格式的证书才能使用 CloudHSM CLI 注册为 mtls 信任锚
+ **影响:**DER 格式的证书不能使用 CloudHSM CLI 注册为 mTLS 信任锚。
+ **解决办法:**您可以使用 openssl 命令将 DER 格式的证书转换为 PEM 格式:`openssl x509 -inform DER -outform PEM -in certificate.der -out certificate.pem`
## 问题:使用带有密码保护的[客户端私有密钥](getting-started-setup-mtls.md#getting-start-setup-mtl-sdk)的 mTLS 时,客户应用程序将停止处理所有请求。
+ **影响:**应用程序执行的所有操作都将停止,并且在应用程序的整个生命周期中,系统将多次提示用户输入标准输入的密码短语。如果在操作的超时持续时间之前未提供密码,则操作将超时并失败。
+ **解决办法:**mTLS 不支持密码短语加密的私有密钥。从客户端私有密钥中移除密码短语加密
## 问题:使用 CloudHSM CLI 时用户复制失败
+ **影响:**使用 CloudHSM CLI 时,在 hsm2m.medium 实例上用户复制失败。`user replicate` 命令在 hsm1.medium 实例上按预期运行。
+ **解决方案:**此问题已得到解决。
## 问题:创建备份期间操作可能会失败
+ **影响:**当 AWS CloudHSM 创建备份时,诸如生成随机数之类的操作可能会在 hsm2m.medium 实例上失败。
+ **解决方案:**为最大限度地减少服务中断,请实施以下最佳实践:
+ 创建多 HSM 集群
+ 配置您的应用程序重试集群操作
有关最佳实践的更多信息,请参阅[的最佳实践 AWS CloudHSM](best-practices.md)。
## 问题:在 hsm2m.medium 的某些情况下,Client SDK 5.8 及更高版本不会自动重试受 HSM 限制的操作
+ **影响:**Client SDK 5.8 及更高版本无法重试某些受 HSM 限制的操作
+ **解决办法:**按照最佳实践架构集群,进而处理负载并实现应用程序级重试。目前我们正在努力修复。更新将在我们的用户指南 [文档历史记录](document-history.md) 中公布。
+ **解决状态:**此问题已在 AWS CloudHSM 客户端 SDK 5.16.2 中得到解决。您必须升级到此客户端版本或更高版本才能从修复中获益。
## 问题:在 hsm2m.medium 上,IV 全部为零的 AES/CBC 解包操作失败
+ **影响:**当使用 AWS CloudHSM JCE 提供程序使用解包密钥的 AES/CBC 机制时,由于添加了不在 hsm1.medium 实例中的验证检查,因此在 hsm2m.medium 实例上使用 16 字节填充零 IV 的操作失败。
+ **解析状态:**我们正在研究一个修复程序,允许在 AES/CBC 解包 IVs 操作期间接受零字节。
## 问题:在 hsm2m.medium 上进行应用程序冷启动期间无法初始化 HSM 连接
+ **影响:**此问题会影响冷启动,例如客户端应用程序部署或重启。hsm2m.medium HSM 实例改进了公平共享架构,可确保为所有客户提供更稳定的性能、吞吐量和延迟。目前,在 hsm1.medium 上,您可能会观察到并发 HSM 连接初始化的性能高于预期。但是,hsm1.medium 连接初始化性能将因底层系统更新而异。
+ **解决方案:**遵循[最佳实践](bp-application-integration.md#bp-stagger-deployment),错开客户端应用程序部署和重启,以限制同时初始化 HSM 连接的客户端应用程序数量。我们还建议您为客户端应用程序初始化实施应用程序级别的重试。此外,使用配置工具进行引导`--cluster-id `,将所有 HSM IP 添加到客户端配置文件中。在 AWS CloudHSM 客户端软件开发工具包版本 5.17.1 及更高版本中,此行为已得到改进。我们建议升级到最新的 SDK 版本,以便从此改进中受益。