Data Domain:IDPA 憑證更換「OpenSSL 錯誤。變更 PKCS12 檔案的密碼時發生錯誤。」
Summary: 嘗試透過 DD CLI 或 UI 上傳 PKCS12 認證檔案時,DD 憑證更換失敗,並顯示錯誤:「error **** OpenSSL error.變更 PKCS12 檔案的密碼時發生錯誤。」
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
嘗試透過 Data Domain 命令列介面 (CLI) 或 UI 上傳 PKCS12 認證檔案時,發生以下錯誤:
****OpenSSL 錯誤。變更 PKCS12 檔案密碼時發生錯誤
****OpenSSL 錯誤。變更 PKCS12 檔案密碼時發生錯誤
Cause
發生此問題是因為只有
pbeWithSHA1And3-KeyTripleDES-CBC Data Domain 支援 (PBE-SHA1-3DES) 加密演算法。
若要驗證 PKCS12 檔案加密演算法,請將檔案複製到 ACM 機器並執行:
# openssl pkcs12 -info -in keystore.p12 -noout
將 keystore.p12 替換為客戶 pkcs12 檔案。範例輸出如下所示。如果輸出未顯示 PBE-SHA1-3DES,則代表 DD 不支援:
Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag
Resolution
因應措施是將此不相容的 PKCS12 檔案複製到 ACM 機器,然後使用下列步驟將 PKCS12 檔案轉換為相容的檔案:
步驟 1:將金鑰對從不相容的 PKCS12 金鑰存放區檔案匯出至 名為 temp.pem 的PEM 格式檔案:
openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem
步驟 2:使用 PBE-SHA1-3DES將 temp.pem 金鑰對檔案轉換為相容的 PKCS12 檔案 algorithm:
openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234
步驟 3:(選擇性)驗證轉換後的檔案演算法:
openssl pkcs12 -info -in Compliantkeystore.p12 -noout
未來修正
此問題的修正將於 DDOS 7.12 提供。此修正會新增對 pkcs12 檔案中使用的演算法的驗證。如果演算法不是「PBE-SHA1-3DES」,程序將會中止,並向客戶擲回使用者友好的錯誤。上述因應措施仍然適用。
Affected Products
Data Domain, PowerProtect Data Protection Appliance, PowerProtect Data Manager ApplianceArticle Properties
Article Number: 000220150
Article Type: Solution
Last Modified: 19 Aug 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.