问题标签 [amazon-cloudhsm]

我正在尝试使用mage.exe存储在 Amazon CloudHSM 中的证书对清单进行签名。

我安装了 Amazon CloudHSM Windows 客户端，它添加了Cavium Key Storage Provider和Cavium CNG Provider提供程序。我可以signtool.exe在 CloudHSM 中使用我的证书进行签名，但我无法开始mage.exe工作。我有mage.exeNETFX 4.7.2 所以它有-CryptoProvider参数。

我已尝试为以下两个提供程序指定-CryptoProvider：

但我得到：

内部错误，请重试。指定的提供程序类型无效。

mage.exe调用以使用备用密钥存储提供程序签署清单的正确参数是什么？

注意：证书必须在 HSM 中。在不同的商店中使用证书不是一种选择。

注意 2：由于我可以使用 签名signtool.exe，因此可以访问证书，正确设置 CloudHSM 等。此问题似乎特定于使用 访问该证书mage.exe。

更新：我使用 JetBrains dotPeek 反汇编 .NET Framework 4.7.2 mage.exe，将其导出到一个项目，破解该项目足以让它编译，我可以用被破解的 .NET Framework 签名mage.exe。我只需要-CertHash参数而不是-CryptoProvider. 我不确定这是否是权限问题，因为我为使其编译而采取的一些措施是程序集属性并使其未签名。

我没有考虑解决这个问题，因为我不想mage.exe在我们的生产应用程序中使用被黑的版本。另外，我什至还没有确认我可以以允许 ClickOnce 应用程序正确部署的方式签署应用程序和部署清单。这只是使用 "authorized" 找到解决方案的更多信息mage.exe。

我想通过 node.js 应用程序从我的 VPC 网络访问 cloudHSM 集群。我的主要用途是管理加密密钥。

我找不到使用 node.js 在 CloudHSM 中管理密钥的 API。

我只能找到这些 API 来管理 CloudHSH 集群： https ://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/CloudHSMV2.html

我正在尝试使用 CF 模板在 CloudHSM 中启动一个集群。我正面临这个问题。“模板格式错误：无法识别的资源类型：[AWS::HSM::Cluster]”

我已将 cavium 添加为提供程序，但它在运行时出现“java.lang.NoClassDefFoundError”错误。任何线索或想法都会有很大帮助。Jar 已经添加到构建路径并包含在 Maven 中。

尝试的是添加 jar 来构建路径。

Security.addProvider(new com.cavium.provider.CaviumProvider()); 给出错误为：java.lang.NoClassDefFoundError：无法初始化类 com.cavium.provider.CaviumProvider

当我尝试将 secp256k1 私钥导入 CloudHSM 实例时，我收到错误“java.security.InvalidKeyException：密钥是 CaviumKey 的实例，无法导入”。导入 secp256r1 私钥可以正常工作。

我使用提供的示例作为指导（https://github.com/aws-samples/aws-cloudhsm-jce-examples），似乎 exportKey 方法不会将密钥转换为 privateKey，而是返回一个CaviumKey 代替（我已链接到下面方法中的行）。

https://github.com/aws-samples/aws-cloudhsm-jce-examples/blob/master/src/main/java/com/amazonaws/cloudhsm/examples/KeyUtilitiesRunner.java#L278

此函数返回一个仍然是 CaviumKey 实例的 PrivateKey，当尝试通过 Cavium 库导入 HSM 时会引发错误。

有谁知道为什么会发生这种情况或我该如何解决这个问题？

我已阅读 AWS CloudHSM 中的文档。

我尝试使用以下命令导入证书

我得到了输出

有谁知道如何解决这个问题？

在此先感谢您的帮助。

我正在使用最新的 AWS 云 HSM 以及带有 PKCS11Interop c# 库的 PKCS 供应商库。尝试从AWS PKCS Samples
模拟 CKM.CKM_RSA_AES_KEY_WRAP 的示例代码

包装 AES 256 密钥时出现以下错误。

Net.Pkcs11Interop.Common.Pkcs11Exception：“方法 C_WrapKey 返回 CKR_ARGUMENTS_BAD”在 Net.Pkcs11Interop.HighLevelAPI80.Session.WrapKey（IMechanism 机制，IObjectHandle wrappingKeyHandle，IObjectHandle keyHandle）

我的示例代码

我在 AWS 供应商 PKCS 库之上使用带有 PKCS11Interop c# 库的 AWS 云 HSM 生成 RSA 密钥对。想要使用 PKCS 11 getAttributeValue 方法从 HSM 导出公钥。

响应指出无法读取属性，我已正确标记所有属性值以便能够导出密钥，有人可以指出我做错了什么吗？

我的示例代码

我正在尝试使用 HSM（硬件安全模块）来存储密钥并进行加密操作。我想在 java 应用程序中操作 HSM。为此，我需要使用兼容的 java JCE 提供程序作为应用程序和 HSM 的标准化 PKCS#11 接口之间的映射层。为了初步了解，我已经将 Utimaco Cryptoserver Simulator 与 Sunpkcs11 提供程序结合使用。结果很好！

但现在我想用 AWS CloudHSM 替换 Utimaco Cryptoserver Simulator，但我对此有点困惑。常见问题解答指出 AWS CloudHSM 提供 JCE (com.cavium.provider.caviumprovider)。但我想为此使用 Sunpkcs11 提供程序。

1. 是否可以将 Sunpkcs11 提供程序与 AWS CloudHSM 结合使用，或者在这方面我是否仅限于 Cavium 提供程序？
2. 如果使用 Sunpkcs11 提供程序，与 Cavium 提供程序相比有什么缺点吗？

我正在使用 aws cloudHSM 和 itext7 签署 pdf。一切都很好，直到我没有启用 LTV。

但是在启用 LTV 后出现错误“至少一个签名有问题”并显示签名字节范围无效的原因。

下面是代码

在启用 ltv 之前 -:

后 -：