Data Domain: Substituição do certificado do IDPA "OpenSSL Error. Erro ao alterar a senha do arquivo PKCS12."

Para verificar o algoritmo de criptografia de arquivo PKCS12, copie o arquivo em uma máquina ACM e execute: 

# openssl pkcs12 -info -in keystore.p12 -noout

Substitua keystore.p12 pelo arquivo pkcs12 do cliente. Um exemplo de resultado tem a seguinte aparência. Se o resultado não mostrar PBE-SHA1-3DES, então ele não é compatível com o DD:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Como solução temporária, copie esse arquivo PKCS12 incompatível em uma máquina ACM e, em seguida, converta o arquivo PKCS12 em um compatível usando as seguintes etapas:

Etapa 1: Exporte o par de chaves do arquivo de keystore PKCS12 não compatível para um arquivo de formato PEM chamado temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Etapa 2: Converter o  arquivo de par de chaves temp.pem em um arquivo PKCS12 compatível com PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Etapa 3: (Opcional) Valide o algoritmo do arquivo convertido:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Correção futura

Uma correção para esse problema será fornecida no DDOS 7.12. A correção adiciona validação no algoritmo usado no arquivo pkcs12. Se o algoritmo não for "PBE-SHA1-3DES",o processo será abortado e lançará um erro amigável para o cliente. A solução temporária acima ainda se aplica.