NetWorker: Feil ved analyse av PBE-parameter: Forvente objektidentifikatoren for AES-kryptering

• Selvsignert sertifikat for NetWorker-godkjenningstjenesten ble erstattet med CA-signerte sertifikater.
  • NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstansen for "Authc" og "NWUI" (Linux)
  • NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstansen for "Authc" og "NWUI" (Windows)
• NetWorker-servertjenestene starter ikke etter at sertifikatene er erstattet. Serverdemonloggen rapporterer følgende feil under oppstart av tjenesten:
  • Linux: /nsr/logs/daemon.raw
  • Windows (standard): C:\Program Files\EMC NetWorker\nsr\logs\daemon.raw
  • NetWorker: Hvordan å bruke nsr_render_log Slik gjengir du .raw loggfiler

notice authservice: Caused by: java.io.IOException: PBE parameter parsing error: expecting the object identifier for AES cipher

Prosessen som brukes til å erstatte selvsignerte sertifikater med CA-signerte sertifikater, krever bruk av Java keytoolog OpenSSLfor å generere forespørsel om sertifikatsignering (CSR) og opprette PKCS12 (p12) filer.

Dette problemet oppstår på grunn av inkompatibilitet mellom krypteringsalgoritmer som brukes i PKCS12 filer og Java keytool's evne til å analysere dem, spesielt når ulike versjoner av OpenSSL og Java er involvert.

Nyere OpenSSL-versjoner kan ha AES-kryptering som standard (eksempel: AES-256-CBC) når du oppretter .p12 filer, sikring av private nøkler og sertifikater. Dette er sikrere enn eldre algoritmer som 3DES.

Eldre versjoner av Java (8u291 og tidligere) støtter ikke AES-kryptering i PKCS12 Filer. De forventer at krypteringen skal bruke eldre algoritmer som:

• PBEWithSHAAnd3KeyTripleDES
• PBEWithSHAAndRC2_40

Så når Java keytool Prøver å importere en .p12 -filen kryptert med AES, klarer den ikke å analysere parameterne for passordbasert kryptering (PBE), fordi den ikke gjenkjenner objektidentifikatoren (OID) for AES.

Dette problemet kan også oppstå hvis det er flere forekomster av Java installert på serveren. NetWorker er for eksempel konfigurert til å bruke NetWorker Runtime Environment (NRE) og er oppdatert til den nyeste NOR-versjonen som støttes av NetWorker-versjonen. Serveren har imidlertid også en eldre versjon av Java Runtime Environment (JRE) installert. Når keytool kommandoen brukes den eldre versjonen ble brukt, dette forårsaket et kompatibilitetsproblem mellom .p12 -filer og sertifikatlagrene som brukes av NetWorker.

1. Det anbefales på det sterkeste at NetWorker konfigureres til å bruke NetWorker Runtime Environment (NRE). Kontroller at NetWorker er konfigurert til å bruke NRE, og at NRE rutinemessig oppdateres til den nyeste tilgjengelige versjonen som støttes av NetWorker-versjonen:

• • NetWorker 19.12 og tidligere: NRE 8.0.x
  • NetWorker 19.13 og nyere: NRE 17.0.x
  • NetWorker Runtime Environment (NRE): Introduksjon og installasjon 

2. Når du følger fremgangsmåten for å erstatte NetWorker selvsignerte sertifikater, angir du enten hele banen til NRE-nøkkelverktøyet eller bruker en variabel til å angi banen i kommandoskallet.

Linux: java_bin=/opt/nre/java/latest/bin
Windows: set java_bin="C:\Program Files\NRE\java\jre#.#.#_###\bin"

Alle påfølgende keyool Kommandoer kjøres deretter ved å kalle variabelen:

Linux: $java_bin/keytool OPTIONS
Windows: %java_bin%\keytool OPTIONS

Den komplette prosessen er dokumentert i følgende OS-spesifikke artikler:

• NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstansen for "Authc" og "NWUI" (Linux)
• NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstansen for "Authc" og "NWUI" (Windows)