Data Domain: IDPA Certificate replacement "OpenSSL Error. Fout bij wijzigen van wachtwoord voor PKCS12-bestand."

Als u het PKCS12-algoritme voor bestandsversleuteling wilt controleren, kopieert u het bestand naar een ACM-computer en voert u de volgende opdracht uit: 

# openssl pkcs12 -info -in keystore.p12 -noout

Vervang keystore.p12 door het pkcs12-bestand van de klant. Een voorbeelduitvoer ziet er als volgt uit. Als de uitvoer PBE-SHA1-3DES niet weergeeft, wordt deze niet ondersteund door DD:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Als tijdelijke oplossing kopieert u dit niet-compatibele PKCS12-bestand naar een ACM-computer en converteert u het PKCS12-bestand naar een compatibel bestand met behulp van de volgende stappen:

Stap 1: Exporteer het sleutelpaar van het niet-compatibele PKCS12 keystore-bestand naar een bestand in PEM-indeling met de naam temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Stap 2: Converteer het temp.pem-keypair-bestand naar een compatibel PKCS12-bestand met PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Stap 3: (Optioneel) Valideer het algoritme voor het geconverteerde bestand:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Toekomstige oplossing

Een oplossing voor dit probleem wordt geleverd in DDOS 7.12. De oplossing voegt validatie toe voor het algoritme dat wordt gebruikt in het pkcs12-bestand . Als het algoritme niet "PBE-SHA1-3DES" is, wordt het proces afgebroken en krijgt de klant een gebruiksvriendelijke foutmelding. De bovenstaande tijdelijke oplossing is nog steeds van toepassing.