Data Domain: Byte av IDPA-certifikat "OpenSSL Error. Det gick inte att ändra lösenordet för PKCS12-filen."

Kontrollera PKCS12-filkrypteringsalgoritmen genom att kopiera filen till en ACM-dator och kör: 

# openssl pkcs12 -info -in keystore.p12 -noout

Ersätt keystore.p12 med kundens pkcs12-fil. Ett exempel på utdata ser ut så här. Om utdata inte visar PBE-SHA1-3DES stöds det inte av DD:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Som en tillfällig lösning kan du kopiera den icke-kompatibla PKCS12-filen till en ACM-dator och sedan konvertera PKCS12-filen till en kompatibel fil med hjälp av följande steg:

Steg 1: Exportera nyckelparet från den inkompatibla PKCS12-nyckellagringsfilen till en PEM-formatfil med namnet temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Steg 2: Konvertera nyckelradsfilen temp.pem till en kompatibel PKCS12-fil med PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Steg 3: (Valfritt) Verifiera algoritmen för den konverterade filen:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Framtida lösning

En korrigering för det här problemet kommer att levereras i DDOS 7.12. Korrigeringen lägger till validering av algoritmen som används i pkcs12-filen . Om algoritmen inte är "PBE-SHA1-3DES"avbryts processen och ett användarvänligt fel visas för kunden. Ovanstående lösning gäller fortfarande.