本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 所有 HSM 執行個體的已知問題
下列問題會影響 AWS CloudHSM 所有使用者,無論他們是使用 key\_mgmt\_util 命令列工具、PKCS \#11 SDK、JCE SDK 或 OpenSSL SDK。
**Topics**
+ [問題:AES 金鑰包裝使用 PKCS \#5 填補,而不是使用零填補的金鑰包裝標準合規實作。](#ki-all-1)
+ [問題:用戶端常駐程式的組態檔案中至少要有一個有效的 IP 地址,才能成功連接到叢集。](#ki-all-2)
+ [問題:資料上限為 16 KB,可使用 AWS CloudHSM 用戶端 SDK 3 進行雜湊和簽署](#ki-all-3)
+ [問題:匯入的金鑰無法指定為不可匯出](#ki-all-4)
+ [問題:key\_mgmt\_util 中的 wrapKey 和 unWrapKey 命令預設機制已移除。](#ki-all-5)
+ [問題:如果在您的叢集中有單一 HSM,HSM 容錯移轉無法正常運作。](#ki-all-6)
+ [問題:如果您在短期內超過您叢集中 HSM 的金鑰容量,用戶端會進入未處理的錯誤狀態。](#ki-all-7)
+ [問題:不支援使用 800 位元組以上的 HMAC 金鑰進行摘要操作。](#ki-all-8)
+ [問題:隨用戶端 SDK 3 散發的 client\_info 工具會刪除選用輸出引數所指定的路徑內容](#ki-all-9)
+ [問題:在容器化環境中使用 `--cluster-id` 引數執行 SDK 5 設定工具時收到錯誤。](#ki-all-10)
+ [問題:您收到錯誤「無法從提供的 pfx 檔案建立憑證/金鑰。錯誤:NotPkcs8"](#ki-all-11)
+ [問題:ECDSA 簽署失敗,並從 SDK 5.16 開始出現「無效的機制」錯誤](#ki-all-12)
+ [問題:使用預先雜湊的資料簽署操作無法在互動式模式中正確清除工作階段權杖](#ki-all-13)
+ [問題:CloudHSM 用戶端程式庫的預設用戶端憑證將於 2026 年 1 月 31 日到期](#ki-all-14)
## 問題:AES 金鑰包裝使用 PKCS \#5 填補,而不是使用零填補的金鑰包裝標準合規實作。
此外,不支援無填補和零填補的金鑰包裝。
+ **影響:**如果您在其中使用此演算法包裝和取消包裝,則不會有任何影響 AWS CloudHSM。不過,包裝 的金鑰 AWS CloudHSM 無法在預期符合無填補規格的其他 HSMs 或軟體內取消包裝。這是因為在標準合規取消包裝期間,系統可能會在金鑰資料後加上 8 個位元組的資料填補。外部包裝的金鑰無法正確取消包裝到 AWS CloudHSM 執行個體中。
+ **因應措施:**若要將在 AWS CloudHSM 執行個體上使用含 PKCS \#5 填補的「AES 金鑰包裝」包裝的金鑰在外部取消包裝,在嘗試使用該金鑰前請先去除額外的填補。您可以在檔案編輯器裁剪額外的位元組,或是只將金鑰的位元組複製到程式碼中的新緩衝區。
+ **解決方案狀態:**在 3.1.0 用戶端和軟體版本中, AWS CloudHSM 為 AES 金鑰包裝提供符合標準的選項。如需詳細資訊,請參閱[AES 金鑰包裝](manage-aes-key-wrapping.md)。
## 問題:用戶端常駐程式的組態檔案中至少要有一個有效的 IP 地址,才能成功連接到叢集。
+ **影響:**如果您刪除叢集中的每個 HSM,然後新增另一個 HSM,該 HSM 會得到新 IP 地址,而用戶端協助程式會繼續在原來的 IP 地址搜尋您的 HSM。
+ **因應措施:**如果您執行不穩定的工作負載,建議您在 [ CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html) 函數中使用 `IpAddress` 參數,將彈性網絡介面 (ENI) 設定為其原始值。請注意,ENI 為可用區域 (AZ) 專用。另一個替代的做法是,刪除 `/opt/cloudhsm/daemon/1/cluster.info` 檔案,然後將用戶端組態重設為新 HSM 的 IP 地址。您也可以使用 `client -a {{}}` 命令。如需詳細資訊,請參閱[安裝和設定用戶端 AWS CloudHSM (Linux)](cmu-install-and-configure-client-linux.md) 或[安裝和設定 AWS CloudHSM 用戶端 (Windows)](cmu-install-and-configure-client-win.md)。
## 問題:資料上限為 16 KB,可使用 AWS CloudHSM 用戶端 SDK 3 進行雜湊和簽署
+ **解決狀態:**會將小於 16KB 的資料繼續傳送至 HSM 進行雜湊處理。我們已新增可在本機、軟體、大小在 16KB 與 64KB 之間的資料進行雜湊處理的功能。如果資料緩衝區大於 64KB,用戶端 SDK 5 會明確失敗。您必須將用戶端和 SDK 更新至大於 5.0.0 或更新版本的版本,才能從修正中獲益。
## 問題:匯入的金鑰無法指定為不可匯出
+ **解決狀態:** 已修正此問題。您的部分無須採取任何動作,即可受益於修正。
## 問題:key\_mgmt\_util 中的 wrapKey 和 unWrapKey 命令預設機制已移除。
+ **解決方法:**使用 wrapKey 或 unWrapKey 命令時,您必須使用 `-m` 選項來指定機制。如需詳細資訊,請參閱 [wrapKey](key_mgmt_util-wrapKey.md) 或 [unWrapKey](key_mgmt_util-unwrapKey.md) 文章中的範例。
## 問題:如果在您的叢集中有單一 HSM,HSM 容錯移轉無法正常運作。
+ **影響:**如果您叢集中的單一 HSM 執行個體失去連線,即使之後還原 HSM 執行個體,用戶端也將不會與此執行個體連線。
+ **因應措施:**我們建議至少在任一生產叢集中執行兩個 HSM 執行個體。如果您使用此組態,您將不會受到此問題影響。如果是單一 HSM 叢集,請退回用戶端協助程式,以還原連線。
+ **解決狀態:**此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。
## 問題:如果您在短期內超過您叢集中 HSM 的金鑰容量,用戶端會進入未處理的錯誤狀態。
+ **影響:**用戶端遇到未處理的錯誤狀態時,用戶端會凍結且必須重新啟動。
+ **因應措施:**請測試您的傳輸量,以確保您並非以用戶端無法處理的速率建立工作階段金鑰。您可以新增 HSM 至叢集,或減慢工作階段金鑰的建立速度,藉以降低速率。
+ **解決狀態:**此狀態已在 AWS CloudHSM 用戶端 1.1.2 版本中解決。您必須升級到此用戶端,以受益於此修正。
## 問題:不支援使用 800 位元組以上的 HMAC 金鑰進行摘要操作。
+ **影響:**800 位元組以上的 HMAC 金鑰可以在 HSM 上產生或匯入 HSM。然而,如果您透過 JCE 或 key\_mgmt\_util 在摘要操作中使用較大的金鑰,此次操作將會失敗。請注意,如果您使用 PKCS11,HMAC 金鑰的大小限制為 64 位元組。
+ **因應措施:**如果您將 HMAC 金鑰用於 HSM 上的摘要操作,請大小小於 800 位元組。
+ **解決狀態:**此時並無。
## 問題:隨用戶端 SDK 3 散發的 client\_info 工具會刪除選用輸出引數所指定的路徑內容
+ **影響:**指定輸出路徑下的所有現有檔案和子目錄可能永久遺失。
+ **因應措施:**使用 `client_info` 工具時,請勿使用選用引數 `-output {{path}}`。
+ **解決狀態:**此狀態已在[用戶端 3.3.2 版本](https://docs.aws.amazon.com/cloudhsm/latest/userguide/client-history.html#client-version-3-3-2)中解決。您必須升級到此用戶端,以受益於此修正。
## 問題:在容器化環境中使用 `--cluster-id` 引數執行 SDK 5 設定工具時收到錯誤。
使用 --叢集-id 引數搭配使用 [設定工具] 時,您會收到下列錯誤:
`No credentials in the property bag`
執行個體中繼資料服務版本 2 (IMDSv2) 的更新造成此錯誤。如需詳細資訊,請參閱 [IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) 文件。
+ **影響:**此問題會影響在容器化環境中在 SDK 5.5.0 及更新版本上執行設定工具的使用者,以及使用 EC2 執行個體中繼資料提供憑證。
+ **解決方法:**將 PUT 回應跳轉限制設定為至少兩個。如需如何執行此操作的指引,請參閱[設定執行個體中繼資料選項](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html)。
## 問題:您收到錯誤「無法從提供的 pfx 檔案建立憑證/金鑰。錯誤:NotPkcs8"
+ **解決方法:**您可以使用 openssl 命令將自訂 SSL 私有金鑰轉換為 PKCS8 格式: `openssl pkcs8 -topk8 -inform PEM -outform PEM -in {{ssl_private_key}} -out {{ssl_private_key_pkcs8}}`
+ **解決狀態:**此問題已在[用戶端 SDK 5.12.0 版本](client-version-previous.md#client-version-5-12-0)中解決。您必須升級至此用戶端版本 或更新版本,才能從修正中獲益。
## 問題:ECDSA 簽署失敗,並從 SDK 5.16 開始出現「無效的機制」錯誤
+ **影響:**使用比金鑰強度更弱的雜湊函數時,ECDSA 簽署操作失敗。發生此失敗是因為 [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 要求雜湊函數至少與金鑰強度一樣強。
您可能會在用戶端日誌中看到類似這樣的錯誤:
```
[cloudhsm_provider::hsm1::session::ecdsa::sign::common][][] Digest security strength (80) is weaker than the key security strength (128)
```
+ **解決方法:**如果您無法更新雜湊函數,您可以遷移至非 FIPS 叢集,這不會強制執行雜湊強度要求。不過,我們建議您更新雜湊函數,以維持 FIPS 合規。
作為額外的解決方法,我們新增了組態選項來略過此要求。請注意,**不建議使用**此選項,因為使用具有較弱雜湊函數的 ECDSA 不會遵循安全最佳實務。若要使用此選項,請執行下列命令 (`configure-cli`使用所使用 SDK 的設定工具取代 [AWS CloudHSM 用戶端 SDK 5 組態語法](configure-tool-syntax5.md)):
```
sudo /opt/cloudhsm/bin/configure-cli --enable-ecdsa-with-weak-hash-function
```
+ **解決方案:**使用至少與您的 ECDSA 金鑰一樣強大的雜湊函數。如需雜湊函數和 ECDSA 金鑰強度的資訊,請參閱 [NIST SP 800-57 第 1 部分修訂版 5](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf) 中的資料表 2 和 3。
## 問題:使用預先雜湊的資料簽署操作無法在互動式模式中正確清除工作階段權杖
+ **影響:**在互動式模式下搭配 SDK 5.16.1 版使用 CloudHSM CLI 時,具有預先建置資料的簽署操作無法正確清除工作階段權杖。
+ **解決方法:**使用預先雜湊的資料執行簽署操作時,請使用單一命令模式而非互動式模式。這可確保在每次操作後正確清除字符。
+ **解決狀態:**此問題已在 CloudHSM SDK 5.16.2 中解決。升級至 5.16.2 版或更新版本,以受益於修正。
## 問題:CloudHSM 用戶端程式庫的預設用戶端憑證將於 2026 年 1 月 31 日到期
+ **影響:**2026 年 1 月 31 日後的客戶不會受到影響。用戶端和 HSM 之間的所有通訊都由 client-HSM TLS 保護,[如下所述](client-end-to-end-encryption.md)。client-HSM TLS 使用客戶擁有/管理的憑證,這些憑證由客戶在叢集初始化期間設定。
+ **解決狀態:**已解決。