本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的 OpenSSL 動態引擎已知問題 AWS CloudHSM
這些是 OpenSSL 動態引擎的已知問題 AWS CloudHSM。
**Topics**
+ [問題:您無法在 RHEL 6 和 CentOS6 上安裝 AWS CloudHSM OpenSSL 動態引擎](#ki-openssl-1)
+ [問題:預設僅支援將 RSA 卸載到 HSM。](#ki-openssl-2)
+ [問題:在 HSM 上不支援使用金鑰進行內含 OAEP 填補的 RSA 加密和解密。](#ki-openssl-3)
+ [問題:只會將 RSA 和 ECC 金鑰的私有金鑰產生卸載到 HSM。](#ki-openssl-4)
+ [問題:你無法在 RHEL 8、CentOS 8 或 Ubuntu 18.04 LTS 上安裝用戶端 SDK 3 的 OpenSSL 動態引擎](#ki-openssl-5)
+ [問題:SHA-1 在 RHEL 9 (9.2\+) 上簽署並驗證棄用](#ki-openssl-6)
+ [問題: AWS CloudHSM OpenSSL 動態引擎與 OpenSSL v3.x 的 FIPS 供應商不相容](#ki-openssl-7)
+ [問題:從 SDK 5.16 開始,TLS 1.0 和 TLS 1.1 的 ECDSA 密碼套件的 SSL/TLS 卸載失敗](#ki-openssl-8)
## 問題:您無法在 RHEL 6 和 CentOS6 上安裝 AWS CloudHSM OpenSSL 動態引擎
+ **影響:**OpenSSL 動態引擎僅[支援 OpenSSL 1.0.2[f\+]](client-supported-platforms.md)。在預設情況下,RHEL 6 和 CentOS 6 會隨附 OpenSSL 1.0.1。
+ **因應措施:**將 RHEL 6 和 CentOS 6 上的 OpenSSL 程式庫升級至 1.0.2[f\+] 版。
## 問題:預設僅支援將 RSA 卸載到 HSM。
+ ** 影響:**為了發揮最大效能,並未將程式庫設定為卸載額外功能 (例如產生亂數或 EC-DH 操作)。
+ **因應措施:**如果您需要卸載額外操作,請透過支援案例聯絡我們。
+ **解決狀態:**我們正在新增對程式庫的支援,以透過組態檔案來設定卸載選項。更新可供使用時即會在版本歷史頁面中公告。
## 問題:在 HSM 上不支援使用金鑰進行內含 OAEP 填補的 RSA 加密和解密。
+ **影響:**含 OAEP填補之對 RSA 加密和解密的任何呼叫會失敗,並發生除以零錯誤。這是因為 OpenSSL 動態引擎是在本機使用仿造的 PEM 檔案呼叫操作,而不是將操作卸載到 HSM 所造成。
+ **因應措施:**您可以使用 [AWS CloudHSM 用戶端 SDK 5 的 PKCS \#11 程式庫](pkcs11-library.md) 或 [AWS CloudHSM 用戶端 SDK 5 的 JCE 提供者](java-library.md) 執行此程序。
+ **解決狀態:**我們正在新增對程式庫的支援,以讓您正確卸載此操作。更新可供使用時即會在版本歷史頁面中公告。
## 問題:只會將 RSA 和 ECC 金鑰的私有金鑰產生卸載到 HSM。
對於任何其他金鑰類型,OpenSSL AWS CloudHSM 引擎不會用於呼叫處理。而是改用本機 OpenSSL 引擎。這會在軟體中以本機的方式產生金鑰。
+ **影響:**容錯移轉並無提示,因此沒有任何跡象可告知您是否尚未收到在 HSM 上安全產生的金鑰。如果金鑰是由 OpenSSL 在本機的軟體中產生,您會看到包含 `"...........++++++"` 字串的輸出追蹤。將此操作卸載到 HSM 時,就不會有此追蹤。因為金鑰不是在 HSM 中產生或存放,將無法供日後使用。
+ **因應措施:**只針對 OpenSSL 引擎支援的金鑰類型使用 OpenSSL 引擎。對於所有其他金鑰類型,請在應用程式中使用 PKCS \#11 或 JCE,或在 CLI `key_mgmt_util`中使用 。
## 問題:你無法在 RHEL 8、CentOS 8 或 Ubuntu 18.04 LTS 上安裝用戶端 SDK 3 的 OpenSSL 動態引擎
+ **影響:**在預設情況下,RHEL 8、CentOS 8 和 Ubuntu 18.04 LTS 所提供的 OpenSSL 版本不相容於用戶端 SDK 3 的 OpenSSL 動態引擎。
+ **因應措施:**使用提供 OpenSSL 動態引擎支援的 Linux 平台。如需關於支援的平台的詳細資訊,請參閱[支援的平台](client-supported-platforms.md)。
+ **解決狀態: ** AWS CloudHSM 支援這些平台搭配適用於用戶端 SDK 5 的 OpenSSL 動態引擎。如需詳細資訊,請參閱[支援的平台](client-supported-platforms.md)和 [OpenSSL 動態引擎](openssl-library.md)。
## 問題:SHA-1 在 RHEL 9 (9.2\+) 上簽署並驗證棄用
+ **影響:**在 RHEL 9 (9.2\+) 中已棄用用於密碼編譯目的的 SHA-1 訊息摘要。因此,使用 OpenSSL 動態引擎使用 SHA-1 簽署和驗證操作將會失敗。
+ **解決方法:**如果您的案例需要使用 SHA-1 來簽署/驗證現有或第三方密碼編譯簽章,請參閱[增強 RHEL 安全性:了解 RHEL 9 (9.2\+) 和 RHEL 9 (9.2\+) 上的 SHA-1 棄用](https://www.redhat.com/en/blog/rhel-security-sha-1-package-signatures-distrusted-rhel-9),以取得更多詳細資訊。 [https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview](https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/9.0_release_notes/overview)
## 問題: AWS CloudHSM OpenSSL 動態引擎與 OpenSSL v3.x 的 FIPS 供應商不相容
+ **影響:**如果您在為 AWS CloudHSM OpenSSL 3.x 版啟用 FIPS 供應商時嘗試使用 OpenSSL 動態引擎,將會收到錯誤。
+ **解決方法:**若要將 AWS CloudHSM OpenSSL 動態引擎與 OpenSSL 3.x 版搭配使用,請確定已設定「預設」提供者。閱讀 [OpenSSL 網站上的](https://www.openssl.org/docs/man3.0/man7/OSSL_PROVIDER-default.html)預設提供者詳細資訊。
## 問題:從 SDK 5.16 開始,TLS 1.0 和 TLS 1.1 的 ECDSA 密碼套件的 SSL/TLS 卸載失敗
+ **影響:**使用 TLS 1.0 或 TLS 1.1 的連線嘗試失敗,因為這些版本使用 SHA-1 進行簽署,這不符合 [FIPS 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) 要求。
+ **解決方法:**如果您無法立即升級 TLS 版本,您可以遷移到非 FIPS 叢集,這不會強制執行雜湊強度要求。不過,我們建議您升級至 TLS 1.2 或 TLS 1.3,以維持 FIPS 合規和安全性最佳實務。
+ **解決方案:**升級您的實作以使用 TLS 1.2 或 TLS 1.3。由於安全問題,網際網路工程任務小組 (IETF) 已[棄用](https://datatracker.ietf.org/doc/rfc8996/) TLS 1.0 和 TLS 1.1。