Data Domain: Austausch des IDPA-Zertifikats "OpenSSL-Fehler. Fehler beim Ändern des Kennworts für die PKCS12-Datei."

Um den PKCS12-Dateiverschlüsselungsalgorithmus zu überprüfen, kopieren Sie die Datei auf einen ACM-Computer und führen Sie Folgendes aus: 

# openssl pkcs12 -info -in keystore.p12 -noout

Ersetzen Sie keystore.p12 durch die pkcs12-Kundendatei. Eine Beispielausgabe sieht wie folgt aus. Wenn die Ausgabe PBE-SHA1-3DES nicht anzeigt, wird er nicht von DD unterstützt:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Um dieses Problem zu umgehen, kopieren Sie diese nicht konforme PKCS12-Datei auf einen ACM-Rechner und konvertieren Sie dann die PKCS12-Datei mithilfe der folgenden Schritte in eine konforme:

Schritt 1: Exportieren Sie das Schlüsselpaar aus der nicht konformen PKCS12-Keystore-Datei in eine Datei im PEM-Format mit dem Namen temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Schritt 2: Konvertieren Sie die  temp.pem-Schlüsselpaardatei in eine konforme PKCS12-Datei mit PBE-SHA1-3DES. algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Schritt 3: (Optional) Validieren Sie den Algorithmus für die konvertierte Datei:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Zukünftige Korrektur

Eine Lösung für dieses Problem wird in DDOS 7.12 bereitgestellt. Die Korrektur fügt eine Validierung des Algorithmus hinzu, der in der pkcs12-Datei verwendet wird . Wenn der Algorithmus nicht"PBE-SHA1-3DES" ist, wird der Prozess abgebrochen und dem Kunden wird ein benutzerfreundlicher Fehler angezeigt. Der obige Workaround gilt weiterhin.