Data Domain: Reemplazo del certificado IDPA "Error de OpenSSL. Error al cambiar la contraseña para el archivo PKCS12".

Para verificar el algoritmo de cifrado de archivos PKCS12, copie el archivo en una máquina de ACM y ejecute lo siguiente: 

# openssl pkcs12 -info -in keystore.p12 -noout

Reemplace keystore.p12 por el archivo pkcs12 del cliente. Un resultado de muestra se ve como el siguiente. Si el resultado no muestra PBE-SHA1-3DES, DD no lo soporta:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Como solución alternativa, copie este archivo PKCS12 no compatible en una máquina ACM y, a continuación, convierta el archivo PKCS12 en uno compatible mediante los siguientes pasos:

Paso 1: Exporte el par de claves del archivo de almacenamiento de claves PKCS12 no compatible a un archivo con formato PEM denominado temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Paso 2: Convierta el archivo de  par de claves temp.pem en un archivo PKCS12 compatible con PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Paso 3: (Opcional) Valide el algoritmo del archivo convertido:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Solución futura

Se proporcionará una solución para este problema en DDOS 7.12. La corrección agrega validación en el algoritmo utilizado en el archivo pkcs12. Si el algoritmo no es "PBE-SHA1-3DES", el proceso se anulará y arrojará un error fácil de usar para el cliente. La solución alternativa anterior aún se aplica.