NetWorker: Chyba analýzy parametrů PBE: Očekávání identifikátoru objektu pro šifru AES

• Certifikát podepsaný držitelem ověřovací služby NetWorker byl nahrazen certifikáty podepsanými certifikační autoritou.
  • NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro "Authc" a "NWUI" (Linux)
  • NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro "Authc" a "NWUI" (Windows)
• Po výměně certifikátů se nedaří spustit služby serveru NetWorker. Protokol démona serveru hlásí během spuštění služby následující chybu:
  • Linux: /nsr/logs/daemon.raw
  • Windows (výchozí): C:\Program Files\EMC NetWorker\nsr\logs\daemon.raw
  • NetWorker: Návod k použití nsr_render_log Vykreslení .raw souborů protokolu

notice authservice: Caused by: java.io.IOException: PBE parameter parsing error: expecting the object identifier for AES cipher

Proces používaný k nahrazení certifikátů podepsaných svým držitelem certifikáty podepsanými certifikační autoritou vyžaduje použití Java keytoola OpenSSLvygenerovat žádost o podpis certifikátu (CSR) a vytvořit PKCS12 (p12) soubory.

K tomuto problému dochází kvůli nekompatibilitě mezi šifrovacími algoritmy používanými v PKCS12 soubory a Java keytool, zejména pokud se jedná o různé verze OpenSSL a Java.

Novější verze OpenSSL mohou mít ve výchozím nastavení šifrování AES (například AES-256-CBC) při vytváření .p12 soubory, zabezpečení soukromých klíčů a certifikátů. To je bezpečnější než starší algoritmy, jako je 3DES.

Starší verze Javy (8u291 a starší) nepodporují šifrování AES v PKCS12 soubory. Očekávají, že šifrování bude používat starší algoritmy, jako jsou:

• PBEWithSHAAnd3KeyTripleDES
• PBEWithSHAAndRC2_40

Takže, když Java keytool Pokusí se importovat .p12 soubor zašifrovaný pomocí AES, nepodaří se analyzovat parametry PBE (Password-Based Encryption), protože nerozpozná identifikátor objektu (OID) pro AES.

K tomuto problému může dojít také v případě, že je na serveru nainstalováno více instancí jazyka Java. Nástroj NetWorker je například nakonfigurován tak, aby používal prostředí NetWorker Runtime Environment (NRE), a je aktualizován na nejnovější verzi NRE podporovanou touto verzí. Server má ale také nainstalovanou starší verzi prostředí Java Runtime Environment (JRE). Až se keytool byla použita starší verze, což způsobilo problém s kompatibilitou mezi .p12 souborů a úložišť certifikátů používaných nástrojem NetWorker.

1. Důrazně doporučujeme, aby byl nástroj NetWorker nakonfigurován tak, aby používal prostředí NetWorker Runtime Environment (NRE). Ujistěte se, že je nástroj NetWorker nakonfigurován pro použití prostředí NRE a že je pravidelně aktualizováno na nejnovější dostupnou verzi podporovanou verzí nástroje NetWorker:

• • NetWorker 19.12 a starší: NRE 8.0.x
  • NetWorker 19.13 a novější: NRE 17.0.x
  • Prostředí runtime platformy NetWorker (NRE): Úvod a instalace 

2. Při výměně certifikátů NetWorker podepsaných držitelem zadejte úplnou cestu k nástroji NRE keytool nebo použijte proměnnou k nastavení cesty v příkazovém prostředí.

Linux: java_bin=/opt/nre/java/latest/bin
Windows: set java_bin="C:\Program Files\NRE\java\jre#.#.#_###\bin"

Všechny následující keyool Příkazy se pak spouštějí voláním proměnné:

Linux: $java_bin/keytool OPTIONS
Windows: %java_bin%\keytool OPTIONS

Celý proces je zdokumentován v následujících článcích o operačním systému:

• NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro "Authc" a "NWUI" (Linux)
• NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro "Authc" a "NWUI" (Windows)