NetWorker: Errore di analisi dei parametri PBE: Attesa dell'identificatore di oggetto per la crittografia AES

• Il certificato autofirmato di NetWorker Authentication Service è stato sostituito con i certificati firmati dalla CA.
  • NetWorker: Come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Linux)
  • NetWorker: Come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Windows)
• I servizi del server NetWorker non si avviano dopo la sostituzione dei certificati. Il log daemon del server riporta il seguente errore durante l'avvio del servizio:
  • Linux: /nsr/logs/daemon.raw
  • Windows (impostazione predefinita): C:\Program Files\EMC NetWorker\nsr\logs\daemon.raw
  • NetWorker: Modo d'uso nsr_render_log Per eseguire .raw rendering dei file di log

notice authservice: Caused by: java.io.IOException: PBE parameter parsing error: expecting the object identifier for AES cipher

Il processo utilizzato per sostituire i certificati autofirmati con quelli firmati dall'autorità di certificazione richiede l'utilizzo Java keytoole OpenSSLper generare la richiesta di firma del certificato (CSR) e creare PKCS12 (p12) file.

Questo problema si verifica a causa dell'incompatibilità tra gli algoritmi di crittografia utilizzati in PKCS12 file e il file Java keytoolLa capacità di analizzarli, specialmente quando sono coinvolte diverse versioni di OpenSSL e Java.

Le versioni più recenti di OpenSSL possono utilizzare per impostazione predefinita la crittografia AES (ad esempio, AES-256-CBC) durante la creazione .p12 file, proteggendo chiavi private e certificati. Questo è più sicuro rispetto ad algoritmi precedenti come 3DES.

Le versioni precedenti di Java (8u291 e precedenti) non supportano la crittografia AES in PKCS12 file. Si aspettano che la crittografia utilizzi algoritmi meno recenti come:

• PBEWithSHAAnd3KeyTripleDES
• PBEWithSHAAndRC2_40

Così, quando il Java keytool Tenta di importare un .p12 crittografato con AES, non riesce ad analizzare i parametri PBE (Password-Based Encryption), perché non riconosce l'ID oggetto (OID) per AES.

Questo problema può essere osservato anche se sul server sono installate più istanze di Java. Ad esempio, NetWorker è configurato per utilizzare NetWorker Runtime Environment (NRE) e viene aggiornato alla versione NRE più recente supportata dalla versione di NetWorker; tuttavia, sul server è installata anche una versione precedente di JRE (Java Runtime Environment). quando la proprietà del keytool viene utilizzata la versione precedente, il che ha causato un problema di compatibilità tra il .p12 e gli archivi certificati utilizzati da NetWorker.

1. Si consiglia vivamente di configurare NetWorker per l'utilizzo di NetWorker Runtime Environment (NRE). Assicurarsi che NetWorker sia configurato per l'utilizzo di NRE e che NRE sia regolarmente aggiornato alla versione più recente disponibile supportata dalla versione di NetWorker:

• • NetWorker 19.12 e versioni precedenti: NRE 8.0.x
  • NetWorker 19.13 e versioni successive: NRE 17.0.x
  • Ambiente di runtime NetWorker (NRE): Introduzione e installazione 

2. Quando si segue la procedura per sostituire i certificati autofirmati di NetWorker, specificare il percorso completo di NRE keytool o utilizzare una variabile per impostare il percorso nella shell dei comandi.

Linux: java_bin=/opt/nre/java/latest/bin
Windows: set java_bin="C:\Program Files\NRE\java\jre#.#.#_###\bin"

Tutte le successive keyool I comandi vengono quindi eseguiti chiamando la variabile:

Linux: $java_bin/keytool OPTIONS
Windows: %java_bin%\keytool OPTIONS

Il processo completo è documentato nei seguenti articoli specifici del sistema operativo:

• NetWorker: Come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Linux)
• NetWorker: Come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Windows)