NetWorker: PBE-parametrien jäsennysvirhe: AES-salauksen objektitunnisteen odottaminen

• NetWorker-todennuspalvelun itse allekirjoitettu varmenne korvattiin varmenteiden myöntäjän allekirjoittamilla varmenteilla.
  • NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminenAuthc" ja "NWUI" (Linux)
  • NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminenAuthc" ja "NWUI" (Windows)
• NetWorker-palvelinpalvelut eivät käynnisty varmenteiden vaihtamisen jälkeen. Palvelimen daemonloki ilmoittaa seuraavasta virheestä palvelun käynnistyksen aikana:
  • Linux: /nsr/logs/daemon.raw
  • Windows (oletus): C:\Program Files\EMC NetWorker\nsr\logs\daemon.raw
  • NetWorker: Kuinka käyttää nsr_render_log .raw lokitiedostojen hahmontaminen

notice authservice: Caused by: java.io.IOException: PBE parameter parsing error: expecting the object identifier for AES cipher

Prosessi, jolla itse allekirjoitetut varmenteet korvataan myöntäjän allekirjoittamilla varmenteilla, edellyttää seuraavia Java keytoolja OpenSSLluoda varmenteen allekirjoituspyyntö (CSR) ja luoda PKCS12 (p12) tiedostoja.

Tämä ongelma johtuu siitä, että PKCS12 tiedostot ja Java keytoolkyky jäsentää niitä, varsinkin kun mukana on OpenSSL: n ja Java: n eri versioita.

Uudemmat OpenSSL-versiot saattavat käyttää oletusarvoisesti AES-salausta (esimerkiksi AES-256-CBC) luotaessa .p12 tiedostot, yksityisten avainten ja varmenteiden suojaaminen. Tämä on turvallisempi kuin vanhemmat algoritmit, kuten 3DES.

Vanhemmat Java-versiot (8u291 ja vanhemmat) eivät tue AES-salausta PKCS12 Tiedostot. He odottavat salauksen käyttävän vanhempia algoritmeja, kuten:

• PBEWithSHAAnd3KeyTripleDES
• PBEWithSHAAndRC2_40

Joten kun Java keytool Yrittää tuoda .p12 AES:llä salattu tiedosto, se ei jäsentä salasanapohjaisen salauksen (PBE) parametreja, koska se ei tunnista AES

:n objektitunnistetta (OID).Tämä ongelma voidaan havaita myös, jos palvelimeen on asennettu useita Java-esiintymiä. Esimerkiksi NetWorker on määritetty käyttämään NetWorker Runtime Environment (NRE) -ympäristöä ja päivitetty uusimpaan NetWorker-version tukemaan NRE-versioon. palvelimeen on kuitenkin asennettu myös vanhempi Java Runtime Environment (JRE) -versio. Kun keytool -komentoa käytetään vanhempaa versiota käytettäessä, mikä aiheutti yhteensopivuusongelman .p12 tiedostot ja NetWorkerin käyttämät varmennesäilöt.

1. On erittäin suositeltavaa, että NetWorker määritetään käyttämään NetWorker Runtime Environment (NRE) -ympäristöä. Sen varmistaminen, että NetWorker on määritetty käyttämään NRE:tä ja että NRE päivitetään säännöllisesti uusimpaan saatavilla olevaan versioon, jota NetWorker-versio tukee:

• • NetWorker 19.12 ja sitä edeltävät versiot: NRE 8.0.x
  • NetWorker 19.13 ja uudemmat: NRE 17.0.x
  • NetWorker Runtime Environment (NRE): Johdanto ja asennus 

2. Kun korvaat NetWorkerin itse allekirjoitetut varmenteet, määritä joko NRE-avaintyökalun koko polku tai määritä polku komentotulkissa muuttujan avulla.

Linux: java_bin=/opt/nre/java/latest/bin
Windows: set java_bin="C:\Program Files\NRE\java\jre#.#.#_###\bin"

Kaikki seuraavat keyool Komennot suoritetaan sitten kutsumalla muuttujaa:

Linux: $java_bin/keytool OPTIONS
Windows: %java_bin%\keytool OPTIONS

Koko prosessi on dokumentoitu seuraavissa käyttöjärjestelmää koskevissa artikkeleissa:

• NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminenAuthc" ja "NWUI" (Linux)
• NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminenAuthc" ja "NWUI" (Windows)