Data Domain：IDPA証明書の交換「OpenSSL Error.Error changing password for PKCS12 file.」

PKCS12ファイル暗号化アルゴリズムを確認するには、ファイルをACMマシンにコピーし、次のコマンドを実行します。 

# openssl pkcs12 -info -in keystore.p12 -noout

keystore.p12をcustomer pkcs12ファイルに置き換えます。出力例は次のようになります。出力にPBE-SHA1-3DESが表示されない場合は、DDでサポートされていません。

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

この問題を回避するには、この非準拠の PKCS12 ファイルを ACM マシンにコピーしてから、次の手順を実行して PKCS12 ファイルを準拠のファイルに変換します。

手順1：非準拠のPKCS12キーストア ファイルから 、temp.pemという名前のPEM形式のファイルにキー ペアをエクスポートします。

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

手順2：temp.pemキーペア ファイルをPBE-SHA1-3DESを使用してPKCS12準拠のファイルに変換します algorithmです。

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

手順3：(オプション)変換されたファイルのアルゴリズムを検証します。

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

今後の修正

この問題の修正は、DDOS 7.12で提供されます。この修正により、pkcs12ファイルで使用されているアルゴリズムの検証が追加されます。アルゴリズムが「PBE-SHA1-3DES」でない場合、プロセスは中止され、お客様にわかりやすいエラーがスローされます。上記の回避策は引き続き適用されます。