NetWorker: Error de análisis de parámetros de PBE: Esperando el identificador de objeto para el cifrado AES

• El certificado autofirmado del servicio de autenticación de NetWorker se reemplazó por certificados firmados por una CA.
  • NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para "Authc" y "NWUI" (Linux)
  • NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para "Authc" y "NWUI" (Windows)
• Los servicios de NetWorker Server no se inician después de reemplazar los certificados. El registro del demonio del servidor informa el siguiente error durante el inicio del servicio:
  • Linux: /nsr/logs/daemon.raw
  • Windows (valor predeterminado): C:\Program Files\EMC NetWorker\nsr\logs\daemon.raw
  • NetWorker: Modo de empleo nsr_render_log Para representar .raw archivos de registro

notice authservice: Caused by: java.io.IOException: PBE parameter parsing error: expecting the object identifier for AES cipher

El proceso utilizado para reemplazar certificados autofirmados por certificados firmados por una CA requiere el uso de Java keytooly OpenSSLpara generar una solicitud de firma de certificado (CSR) y crear PKCS12 (p12) archivos.

Este problema surge debido a la incompatibilidad entre los algoritmos de cifrado utilizados en PKCS12 y el archivo Java keytoolpara analizarlos, especialmente cuando se trata de diferentes versiones de OpenSSL y Java.

Las versiones más recientes de OpenSSL pueden utilizar de forma predeterminada el cifrado AES (por ejemplo, AES-256-CBC) al crear .p12 archivos, asegurando claves privadas y certificados. Esto es más seguro que los algoritmos más antiguos, como 3DES.

Las versiones anteriores de Java (8u291 y anteriores) no admiten el cifrado AES en PKCS12 Archivos. Esperan que el cifrado utilice algoritmos más antiguos como:

• PBEWithSHAAnd3KeyTripleDES
• PBEWithSHAAndRC2_40

Entonces, cuando la Java keytool Intenta importar un archivo .p12 cifrado con AES, no puede analizar los parámetros de cifrado basado en contraseña (PBE), ya que no reconoce el identificador de objeto (OID) para AES.

Este problema también se puede observar si hay varias instancias de Java instaladas en el servidor. Por ejemplo, NetWorker está configurado para utilizar NetWorker Runtime Environment (NRE) y se actualiza a la versión más reciente de NRE compatible con la versión de NetWorker; sin embargo, el servidor también tiene instalada una versión anterior de Java Runtime Environment (JRE). Cuando se borra la propiedad de keytool se utiliza la versión anterior, lo que causaba un problema de compatibilidad entre los .p12 y los almacenes de certificados que utiliza NetWorker.

1. Se recomienda encarecidamente que NetWorker esté configurado para utilizar NetWorker Runtime Environment (NRE). Asegúrese de que NetWorker esté configurado para usar NRE y de que NRE se actualice periódicamente a la versión más reciente disponible compatible con la versión de NetWorker:

• • NetWorker 19.12 y versiones anteriores: NRE 8.0.x
  • NetWorker 19.13 y versiones posteriores: NRE 17.0.x
  • Entorno de tiempo de ejecución de NetWorker (NRE): Introducción e instalación 

2. Cuando siga el procedimiento para reemplazar los certificados autofirmados de NetWorker, especifique la ruta completa a la herramienta clave NRE o utilice una variable para establecer la ruta en el shell de comandos.

Linux: java_bin=/opt/nre/java/latest/bin
Windows: set java_bin="C:\Program Files\NRE\java\jre#.#.#_###\bin"

Todos los subsiguientes keyool A continuación, se ejecutan los comandos llamando a la variable:

Linux: $java_bin/keytool OPTIONS
Windows: %java_bin%\keytool OPTIONS

El proceso completo se documenta en los siguientes artículos específicos del SO:

• NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para "Authc" y "NWUI" (Linux)
• NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para "Authc" y "NWUI" (Windows)