NVE: keytool meldet, dass Algorithmus im FIPS140-Modus nicht zulässig ist: PBE/PKCS12/SHA1/RC2/CBC/40
Summary: Bei Verwendung des Java Keytool-Dienstprogramms auf einer NVE-Appliance (NetWorker Virtual Edition) wird Folgendes gemeldet: "Algorithmus im FIPS140-Modus nicht zulässig: PBE/PKCS12/SHA1/RC2/CBC/40" ...
Symptoms
Das Java Keytool-Dienstprogramm wird zum Verwalten von Zertifikaten verwendet, die von verschiedenen NetWorker-Services verwendet werden.
Bei Verwendung des Befehls keytool auf einer NVE-Appliance (NetWorker Virtual Edition) wird folgender Fehler gemeldet:
keytool error: java.lang.SecurityException: Algorithm not allowable in FIPS140 mode: PBE/PKCS12/SHA1/RC2/CBC/40
Beispiel:
nve:~/certs # keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12
Importing keystore /tmp/nve.saml.authc.p12 to /nsr/authc/conf/authc.keystore...
Enter destination keystore password:
Enter source keystore password:
keytool error: java.lang.SecurityException: Algorithm not allowable in FIPS140 mode: PBE/PKCS12/SHA1/RC2/CBC/40
Cause
Der keytool-Befehl wird von /usr/bin abgerufen, das symbolisch von einem anderen Ort aus mit Oracle JRE verknüpft ist.
nve:~ # ls -lrt /usr/bin/keytool
lrwxrwxrwx 1 root root 25 May 31 2024 /usr/bin/keytool -> /etc/alternatives/keytool
nve:~ #
nve:~ # ls -lrt /etc/alternatives/keytool
lrwxrwxrwx 1 root root 49 Oct 25 11:13 /etc/alternatives/keytool -> /usr/lib/jvm/jre-1.8.0_421-oracle-x64/bin/keytool
Der Fehler wird nicht beobachtet, wenn Sie das Java-Keytool-Dienstprogramm für NetWorker Runtime Environment (NRE) verwenden:
nve:~ # ls -lrt /opt/nre/java/latest/bin/keytool -rwxr-xr-x 1 root root 8840 Oct 26 21:04 /opt/nre/java/latest/bin/keytool nve:~/certs # /opt/nre/java/latest/bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 Importing keystore /tmp/nve.tomcat.authc.p12 to /nsr/authc/conf/authc.keystore... Enter destination keystore password: Enter source keystore password: Existing entry alias emcauthctomcat exists, overwrite? [no]: y Entry for alias emcauthctomcat successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
Resolution
Wenn Sie keytool auf NVE verwenden, stellen Sie sicher, dass Sie den vollständigen Pfad zum NetWorker Runtime Environment (NRE) Keytool-Dienstprogramm angeben:
/opt/nre/java/latest/bin/keytool OPTIONS
Additional Information
NetWorker: Importieren oder Ersetzen von von Zertifizierungsstellen signierten Zertifikaten für "authc" und "NWUI" (Linux)
NetWorker: Konfigurieren von "AD over SSL" (LDAPS) über die NetWorker-Webnutzeroberfläche (NWUI)