Data Domain: Sostituzione del certificato IDPA "OpenSSL Error. Errore durante la modifica della password per il file PKCS12."

Per verificare l'algoritmo di crittografia dei file PKCS12, copiare il file in un computer ACM ed eseguire: 

# openssl pkcs12 -info -in keystore.p12 -noout

Sostituire keystore.p12 con il file pkcs12 del cliente. Un output di esempio è simile al seguente. Se l'output non mostra PBE-SHA1-3DES, non è supportato da DD:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Come soluzione alternativa, copiare questo file PKCS12 non conforme in un computer ACM, quindi convertire il file PKCS12 in uno conforme attenendosi alla seguente procedura:

Passaggio 1. Esportare la coppia di chiavi dal file del keystore PKCS12 non conforme in un file in formato PEM denominato temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Passaggio 2. Convertire il file della  coppia di chiavi temp.pem in un file PKCS12 compatibile con PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Passaggio 3. (Facoltativo) Convalidare l'algoritmo del file convertito:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Correzione futura

Una correzione per questo problema verrà fornita in DDOS 7.12. La correzione aggiunge la convalida sull'algoritmo utilizzato nel file pkcs12. Se l'algoritmo non è "PBE-SHA1-3DES", il processo si interromperà generando un errore intuitivo per il cliente. La soluzione alternativa di cui sopra è ancora valida.