2024.1 系列发布说明¶
2024.1-eom¶
弃用说明¶
选项 [p11_crypto_plugin]hmac_keywrap_mechanism 已被 [p11_crypto_plugin]hmac_mechanism 替换。此选项已重命名以避免混淆,因为此机制仅用于签名加密数据,而从未使用于密钥包装加密。
安全问题¶
PKCS#11 后端驱动程序已更新,以支持较新的密钥包装机制。新部署应使用 CKM_AES_KEY_WRAP_KWP,但 CKM_AES_KEY_WRAP_PAD 和 CKM_AES_CBC_PAD 也受支持,以与尚未实现 PKCS#11 版本 3.0 的旧设备兼容。
错误修复¶
修复了 Bug #2036506 - 此补丁将用于包装 pKEK 的硬编码 CKM_AES_CBC_PAD 机制替换为配置此机制的选项。已在配置文件的 [p11_crypto_plugin] 部分添加了两个新选项:key_wrap_mechanism 和 key_wrap_generate_iv。这些选项分别默认为 CKM_AES_CBC_PAD 和 True,以保持向后兼容性。
18.0.0¶
升级说明¶
已移除弃用的证书订单资源。因此,创建订单 API 不再接受
certificate类型。
证书插件和证书事件插件均已移除,因为它们用于弃用的证书资源。
PKCS#11 驱动程序中的
token_label选项已被移除。
弃用说明¶
以下
[DEFAULT]部分中的数据库选项已重命名并移动到[database]部分。[DEFAULT] sql_connection已重命名为[database] connection[DEFAULT] sql_idle_timeout已重命名为[database] connection_recycle_time[DEFAULT] sql_max_retries已重命名为[database] max_retries[DEFAULT] sql_retry_interval已重命名为[database] retry_interval[DEFAULT] sql_pool_size已重命名为 [database] max_pool_size`[DEFAULT] sql_pool_max_overflow已重命名为[database] max_overflow
安全问题¶
此版本默认使用安全的 RBAC(参见:https://governance.openstack.org/tc/goals/selected/consistent-and-secure-rbac.html )。要选择退出此更改并继续使用旧策略,请在 barbican.conf 的 [oslo_policy] 部分中设置 enforce_new_defaults=False 和 enforce_scope=False。
