Data Domain:IDPA 证书更换“OpenSSL Error.更改 PKCS12 文件的密码时出错。”
Summary: 尝试通过 DD CLI 或 UI 上传 PKCS12 证书文件时,DD 证书更换失败,并显示错误:“error **** OpenSSL Error.更改 PKCS12 文件的密码时出错。”
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
尝试通过 Data Domain 命令行界面 (CLI) 或 UI 上传 PKCS12 证书文件时,遇到以下错误:
****OpenSSL 错误。更改 PKCS12 文件的密码时出错
****OpenSSL 错误。更改 PKCS12 文件的密码时出错
Cause
出现此问题是因为只有
pbeWithSHA1And3-KeyTripleDES-CBC Data Domain 支持 (PBE-SHA1-3DES) 加密算法。
要验证 PKCS12 文件加密算法,请将文件复制到 ACM 计算机并运行:
# openssl pkcs12 -info -in keystore.p12 -noout
将 keystore.p12 替换为客户 pkcs12 文件。输出示例如下所示。如果输出未显示 PBE-SHA1-3DES,则不受 DD 支持:
Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag
Resolution
要解决此问题,请将此不合规的 PKCS12 文件复制到 ACM 计算机,然后使用以下步骤将 PKCS12 文件转换为合规文件:
步骤 1:将密钥对从不合规的 PKCS12 密钥库文件导出到 名为 temp.pem 的 PEM 格式文件:
openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem
步骤 2:使用 PBE-SHA1-3DES将 temp.pem 密钥对文件转换为兼容的 PKCS12 文件 algorithm:
openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234
步骤 3:(可选)验证转换后的文件算法:
openssl pkcs12 -info -in Compliantkeystore.p12 -noout
未来修复
此问题的修复将在 DDOS 7.12 中提供。此修复增加了对 pkcs12 文件中使用的算法的验证。如果算法不是“PBE-SHA1-3DES”,则该过程将中止并向客户抛出用户友好的错误。上述解决方法仍然适用。
Affected Products
Data Domain, PowerProtect Data Protection Appliance, PowerProtect Data Manager ApplianceArticle Properties
Article Number: 000220150
Article Type: Solution
Last Modified: 19 Aug 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.