Data Domain: IDPA-sertifikatutskifting "OpenSSL Error. Feil ved endring av passord for PKCS12-fil."

Hvis du vil kontrollere PKCS12-filkrypteringsalgoritmen, kopierer du filen til en ACM-maskin og kjører: 

# openssl pkcs12 -info -in keystore.p12 -noout

Erstatt keystore.p12 med kunde pkcs12-fil. Et samplingsresultat ser slik ut: Hvis utdataene ikke viser PBE-SHA1-3DES, støttes den ikke av DD:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Som en løsning kan du kopiere denne ikke-kompatible PKCS12-filen til en ACM-maskin, og deretter konvertere PKCS12-filen til en kompatibel fil ved hjelp av følgende trinn:

Trinn 1: Eksporter nøkkelparet fra den ikke-kompatible PKCS12-nøkkellagerfilen til en PEM-formatfil kalt temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Trinn 2: Konverter temp.pem-tasteparfilen til en kompatibel PKCS12-fil med PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Trinn 3: (Valgfritt) Valider algoritmen for konverterte filer:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Fremtidig løsning

En løsning på dette problemet leveres i DDOS 7.12. Reparasjonen legger til validering på algoritmen som brukes i pkcs12-filen . Hvis algoritmen ikke er "PBE-SHA1-3DES",vil prosessen avbryte og kaste en brukervennlig feil til kunden. Løsningen ovenfor gjelder fortsatt.