Data Domain: Výměna certifikátu IDPA "OpenSSL Error. Error changing password for PKCS12 file."

Pokud chcete ověřit algoritmus šifrování souborů PKCS12, zkopírujte soubor do počítače ACM a spusťte: 

# openssl pkcs12 -info -in keystore.p12 -noout

Nahraďte soubor keystore.p12 souborem pkcs12 zákazníka. Ukázkový výstup vypadá takto. Pokud výstup nezobrazuje PBE-SHA1-3DES, DD jej nepodporuje:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Alternativním řešením je zkopírovat tento nekompatibilní soubor PKCS12 do počítače ACM a poté převést soubor PKCS12 na kompatibilní soubor pomocí následujících kroků:

1. krok: Exportujte pár klíčů z nekompatibilního souboru úložiště klíčů PKCS12 do souboru ve formátu PEM s názvem temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

2. krok: Převeďte soubor páru  klíčů temp.pem na kompatibilní soubor PKCS12 pomocí PBE-SHA1-3DES. algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

3. krok: (Volitelné) Ověřte algoritmus převedeného souboru:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Budoucí oprava

Oprava tohoto problému bude součástí systému DDOS 7.12. Oprava přidává ověření algoritmu použitého v souboru pkcs12. Pokud algoritmus není "PBE-SHA1-3DES", proces se přeruší a vyvolá uživatelsky přívětivou chybu pro zákazníka. Výše uvedené zástupné řešení stále platí.