Data Domain : Remplacement du certificat IDPA « Erreur OpenSSL. Erreur lors de la modification du mot de passe pour le fichier PKCS12. »

Pour vérifier l’algorithme de chiffrement de fichier PKCS12, copiez le fichier sur une machine ACM et exécutez : 

# openssl pkcs12 -info -in keystore.p12 -noout

Remplacez keystore.p12 par le fichier pkcs12 du client. Voici un exemple de sortie : Si la sortie n’affiche pas PBE-SHA1-3DES, elle n’est pas prise en charge par DD :

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Pour contourner ce problème, copiez ce fichier PKCS12 non conforme sur une machine ACM, puis convertissez le fichier PKCS12 en un fichier conforme en procédant comme suit :

Étape 1 : Exportez la paire de clés à partir du fichier de magasin de clés PKCS12 non conforme vers un fichier au format PEM nommé temp.pem :

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Étape 2 : Convertissez le  fichier de paire de clés temp.pem en un fichier PKCS12 conforme avec PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Étape 3 : (Facultatif) Validez l’algorithme de fichier converti :

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Correctif futur

Un correctif pour ce problème sera fourni dans DDOS 7.12. Le correctif ajoute une validation sur l’algorithme utilisé dans le fichier pkcs12. Si l’algorithme n’est pas «PBE-SHA1-3DES »,le processus abandonne et génère une erreur conviviale pour le client. La solution de contournement ci-dessus s’applique toujours.