NetWorker: Fejl ved parsing af PBE-parameter: Forventer objekt-id for AES-kryptering

• Selvsigneret certifikat for NetWorker-godkendelsestjenesten blev erstattet med CA-signerede certifikater.
  • NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Linux)
  • NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Windows)
• NetWorker-servertjenesterne starter ikke efter udskiftning af certifikaterne. Serverdæmonloggen rapporterer følgende fejl under tjenestestart:
  • Linux: /nsr/logs/daemon.raw
  • Windows (standard): C:\Program Files\EMC NetWorker\nsr\logs\daemon.raw
  • NetWorker: Brugsvejledning nsr_render_log Sådan gengives .raw logfiler

notice authservice: Caused by: java.io.IOException: PBE parameter parsing error: expecting the object identifier for AES cipher

Den proces, der bruges til at erstatte selvsignerede certifikater med CA-signerede certifikater, kræver brug af Java keytoolog OpenSSLtil at generere anmodning om certifikatsignering (CSR) og oprette PKCS12 (p12) filer.

Dette problem opstår på grund af inkompatibilitet mellem krypteringsalgoritmer, der bruges i PKCS12 filer og Java keytool's evne til at analysere dem, især når forskellige versioner af OpenSSL og Java er involveret.

Nyere OpenSSL-versioner kan som standard bruge AES-kryptering (f.eks. AES-256-CBC), når du opretter .p12 filer, sikring af private nøgler og certifikater. Dette er mere sikkert end ældre algoritmer som 3DES.

Ældre versioner af Java (8u291 og tidligere) understøtter ikke AES-kryptering i PKCS12 filer. De forventer, at krypteringen bruger ældre algoritmer som:

• PBEWithSHAAnd3KeyTripleDES
• PBEWithSHAAndRC2_40

Så når Java keytool forsøger at importere en .p12 fil, der er krypteret med AES, undlader den at analysere PBE-parametrene (Password-Based Encryption), fordi den ikke genkender Object Identifier (OID) for AES.

Dette problem kan også observeres, hvis der er flere forekomster af Java installeret på serveren. NetWorker er f.eks. konfigureret til at bruge NetWorker Runtime Environment (NRE) og opdateres til den nyeste NRE-version, der understøttes af NetWorker-versionen. Serveren har dog også en ældre version af Java Runtime Environment (JRE) installeret. Når keytool bruges den ældre version blev brugt, hvilket forårsagede et kompatibilitetsproblem mellem .p12 filer og certifikatlagre, der bruges af NetWorker.

1. Det anbefales på det kraftigste, at NetWorker er konfigureret til at bruge NetWorker Runtime Environment (NRE). Sikre, at NetWorker er konfigureret til at bruge NRE, og at NRE rutinemæssigt opdateres til den seneste tilgængelige version, der understøttes af NetWorker-versionen:

• • NetWorker 19.12 og tidligere: NRE 8.0.x
  • NetWorker 19.13 og nyere: NRE 17.0.x
  • NetWorker Runtime Environment (NRE): Introduktion og installation 

2. Når du følger proceduren for at erstatte NetWorker-selvsignerede certifikater, skal du enten angive den fulde sti til NRE-nøgleværktøjet eller bruge en variabel til at angive stien i kommandoskallen.

Linux: java_bin=/opt/nre/java/latest/bin
Windows: set java_bin="C:\Program Files\NRE\java\jre#.#.#_###\bin"

Alle efterfølgende keyool Kommandoer køres derefter ved at kalde variablen:

Linux: $java_bin/keytool OPTIONS
Windows: %java_bin%\keytool OPTIONS

Hele processen er dokumenteret i følgende OS-specifikke artikler:

• NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Linux)
• NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Windows)