NVE : keytool signale que l’algorithme n’est pas autorisé en mode FIPS140 : PBE/PKCS12/SHA1/RC2/CBC/40
Summary: L’utilisation de l’utilitaire Java KeyTool sur une appliance NetWorker Virtual Edition (NVE) signale le message suivant : « Algorithme non autorisé en mode FIPS140 : PBE/PKCS12/SHA1/RC2/CBC/40" ...
Symptoms
L’utilitaire Java Keytool permet de gérer les certificats utilisés par les différents services NetWorker.
L’utilisation de la commande keytool sur une appliance NetWorker Virtual Edition (NVE) signale l’erreur suivante :
keytool error: java.lang.SecurityException: Algorithm not allowable in FIPS140 mode: PBE/PKCS12/SHA1/RC2/CBC/40
Exemple :
nve:~/certs # keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12
Importing keystore /tmp/nve.saml.authc.p12 to /nsr/authc/conf/authc.keystore...
Enter destination keystore password:
Enter source keystore password:
keytool error: java.lang.SecurityException: Algorithm not allowable in FIPS140 mode: PBE/PKCS12/SHA1/RC2/CBC/40
Cause
La commande keytool est extraite de /usr/bin, qui est symboliquement lié à Oracle JRE à partir d’un autre emplacement.
nve:~ # ls -lrt /usr/bin/keytool
lrwxrwxrwx 1 root root 25 May 31 2024 /usr/bin/keytool -> /etc/alternatives/keytool
nve:~ #
nve:~ # ls -lrt /etc/alternatives/keytool
lrwxrwxrwx 1 root root 49 Oct 25 11:13 /etc/alternatives/keytool -> /usr/lib/jvm/jre-1.8.0_421-oracle-x64/bin/keytool
L’erreur n’est pas observée lors de l’utilisation de l’utilitaire Java KeyTool NetWorker Runtime Environment (NRE) :
nve:~ # ls -lrt /opt/nre/java/latest/bin/keytool -rwxr-xr-x 1 root root 8840 Oct 26 21:04 /opt/nre/java/latest/bin/keytool nve:~/certs # /opt/nre/java/latest/bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 Importing keystore /tmp/nve.tomcat.authc.p12 to /nsr/authc/conf/authc.keystore... Enter destination keystore password: Enter source keystore password: Existing entry alias emcauthctomcat exists, overwrite? [no]: y Entry for alias emcauthctomcat successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
Resolution
Lors de l’utilisation de keytool sur NVE, assurez-vous de spécifier le chemin d’accès complet à l’utilitaire keytool NetWorker Runtime Environment (NRE) :
/opt/nre/java/latest/bin/keytool OPTIONS
Additional Information
NetWorker : Importation ou remplacement de certificats signés par une autorité de certification pour « authc » et « NWUI » (Linux)
NetWorker : Configuration d’AD over SSL (LDAPS) à partir de NetWorker Web User Interface (NWUI)