Mitaka 系列发布说明

2.0.0

序言

此版本包含一个新的命令行工具 ‘barbican-manage’，它整合并取代了单独的 HSM 和数据库管理脚本。

Mitaka 版本包含一个新的 API，用于向 Secrets 添加任意用户定义的元数据。

此版本对 PKCS#11 加密插件驱动程序的性能进行了显著改进。这些更改需要迁移任何由先前版本的 PKCS#11 后端存储的现有数据。

新特性

• ‘barbican-manage’ 工具可用于管理数据库模式更改以及在 HSM 后端中配置和轮换密钥。

已知问题

• 如果您尝试使用先前版本的 PKCS#11 加密插件存储的数据运行此新版本，但尚未为此版本迁移数据，则服务将遇到错误。记录的错误将类似于

  'P11CryptoPluginException: HSM 返回 响应代码: 0xc0L CKR_SIGNATURE_INVALID'

升级说明

• 元数据 API 需要更新数据库模式。升级到 Mitaka 的现有部署应使用 ‘barbican-manage’ 工具来更新模式。

• 如果您是从使用 PKCS#11 加密插件驱动程序的先前版本的 barbican 升级，则需要运行迁移脚本

  python barbican/cmd/pkcs11_migrate_kek_signatures.py

弃用说明

• ‘barbican-db-manage’ 脚本已被弃用。请改用新的 ‘barbican-manage’ 工具。

• ‘pkcs11-kek-rewrap’ 脚本已被弃用。请改用新的 ‘barbican-manage’ 工具。

• ‘pkcs11-key-generation’ 脚本已被弃用。请改用新的 ‘barbican-manage’ 工具。

关键问题

• 如果您是从使用 PKCS#11 加密插件驱动程序的先前版本的 barbican 升级，则需要运行迁移脚本

  python barbican/cmd/pkcs11_migrate_kek_signatures.py