Data Domain: IDPA-certifikatudskiftning "OpenSSL-fejl. Der opstod en fejl under ændring af adgangskoden til PKCS12-filen."

For at kontrollere PKCS12-filkrypteringsalgoritmen skal du kopiere filen til en ACM-maskine og køre: 

# openssl pkcs12 -info -in keystore.p12 -noout

Erstat keystore.p12 med kundens pkcs12-fil. Et eksempeloutput ser ud som følger. Hvis outputtet ikke viser PBE-SHA1-3DES, understøttes det ikke af DD:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Du kan løse problemet ved at kopiere denne ikke-kompatible PKCS12-fil til en ACM-maskine og derefter konvertere PKCS12-filen til en kompatibel fil ved hjælp af følgende trin:

Trin 1: Eksporter nøgleparret fra den ikke-kompatible PKCS12 keystore-fil til en PEM-formatfil med navnet temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Trin 2: Konverter temp.pem-nøgleparfilen til en kompatibel PKCS12-fil med PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Trin 3: (Valgfrit) Godkend den konverterede filalgoritme:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Fremtidig rettelse

En rettelse til dette problem leveres i DDOS 7.12. Rettelsen tilføjer validering af algoritmen, der bruges i pkcs12-filen . Hvis algoritmen ikke er "PBE-SHA1-3DES",afbrydes processen og kaster en brugervenlig fejl til kunden. Ovenstående løsning gælder stadig.