Data Domain. Замена сертификата IDPA «Ошибка OpenSSL. Ошибка при изменении пароля для файла PKCS12."

Чтобы проверить алгоритм шифрования файла PKCS12, скопируйте файл на компьютер ACM и выполните команду: 

# openssl pkcs12 -info -in keystore.p12 -noout

Замените keystore.p12 на пользовательский файл pkcs12. Пример выходных данных выглядит следующим образом. Если на выходе не отображается PBE-SHA1-3DES, это означает, что DD не поддерживает такие данные.

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

В качестве временного решения скопируйте этот несовместимый файл PKCS12 на компьютер ACM, а затем преобразуйте файл PKCS12 в совместимый, выполнив следующие действия:

Шаг 1. Экспортируйте пару ключей из несовместимого файла хранилища ключей PKCS12 в файл формата PEM с именем temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Шаг 2. Преобразуйте файл пары ключей temp.pem в совместимый файл PKCS12 с помощью PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Шаг 3. (Дополнительный) Проверьте алгоритм преобразованного файла:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Будущее исправление

Исправление этой проблемы будет реализовано в DDOS 7.12. Исправление добавляет проверку алгоритма, используемого в файле pkcs12 . Если используется алгоритм, отличный отPBE-SHA1-3DES, процесс будет прерван и выдаст пользователю понятную для пользователя ошибку. Указанное выше временное решение по-прежнему применимо.