NVE: keytool segnala che l'algoritmo non è consentito in modalità FIPS140: PBE/PKCS12/SHA1/RC2/CBC/40
Summary: Utilizzando l'utilità java keytool su un appliance NetWorker Virtual Edition (NVE) viene visualizzato il messaggio "Algorithm not allowable in FIPS140 mode: PBE/PKCS12/SHA1/RC2/CBC/40"
Symptoms
L'utilità keytool Java viene utilizzata per gestire i certificati usati da vari servizi di NetWorker.
L'utilizzo del comando keytool su un appliance NetWorker Virtual Edition (NVE) riporta il seguente errore:
keytool error: java.lang.SecurityException: Algorithm not allowable in FIPS140 mode: PBE/PKCS12/SHA1/RC2/CBC/40
Esempio:
nve:~/certs # keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12
Importing keystore /tmp/nve.saml.authc.p12 to /nsr/authc/conf/authc.keystore...
Enter destination keystore password:
Enter source keystore password:
keytool error: java.lang.SecurityException: Algorithm not allowable in FIPS140 mode: PBE/PKCS12/SHA1/RC2/CBC/40
Cause
Il comando keytool viene estratto da /usr/bin, che è simbolicamente collegato a Oracle JRE da un'altra posizione.
nve:~ # ls -lrt /usr/bin/keytool
lrwxrwxrwx 1 root root 25 May 31 2024 /usr/bin/keytool -> /etc/alternatives/keytool
nve:~ #
nve:~ # ls -lrt /etc/alternatives/keytool
lrwxrwxrwx 1 root root 49 Oct 25 11:13 /etc/alternatives/keytool -> /usr/lib/jvm/jre-1.8.0_421-oracle-x64/bin/keytool
L'errore non viene osservato quando si utilizza l'utilità keytool Java di NetWorker Runtime Environment (NRE):
nve:~ # ls -lrt /opt/nre/java/latest/bin/keytool -rwxr-xr-x 1 root root 8840 Oct 26 21:04 /opt/nre/java/latest/bin/keytool nve:~/certs # /opt/nre/java/latest/bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 Importing keystore /tmp/nve.tomcat.authc.p12 to /nsr/authc/conf/authc.keystore... Enter destination keystore password: Enter source keystore password: Existing entry alias emcauthctomcat exists, overwrite? [no]: y Entry for alias emcauthctomcat successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
Resolution
Quando si utilizza keytool su NVE, assicurarsi di specificare il percorso completo dell'utilità keytool NRE (NetWorker Runtime Environment):
/opt/nre/java/latest/bin/keytool OPTIONS
Additional Information
NetWorker: Come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Linux)
NetWorker: Come configurare "AD over SSL" (LDAPS) da NetWorker Web User Interface (NWUI)