Data Domain: IDPA 인증서 교체 "OpenSSL 오류. PKCS12 파일의 암호를 변경하는 동안 오류가 발생했습니다."

PKCS12 파일 암호화 알고리듬을 확인하려면 파일을 ACM 머신에 복사하고 다음을 실행합니다. 

# openssl pkcs12 -info -in keystore.p12 -noout

keystore.p12를 고객 pkcs12 파일로 교체합니다. 샘플 출력은 다음과 같습니다. 출력에 PBE-SHA1-3DES가 표시되지 않으면 DD에서 지원되지 않습니다.

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

이 문제를 해결하려면 이 비준수 PKCS12 파일을 ACM 시스템에 복사한 후 다음 단계를 사용하여 PKCS12 파일을 호환되는 파일로 변환합니다.

1단계: 호환되지 않는 PKCS12 키 저장소 파일의 키 쌍을 temp.pem이라는PEM 형식 파일로 내보냅니다.

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

2단계: temp.pem 키 쌍 파일을 PBE-SHA1-3DES를 사용하여 규격 PKCS12 파일로 변환  algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

3단계: (선택 사항) 변환된 파일 알고리즘의 유효성을 검사합니다.

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

향후 수정 사항

이 문제에 대한 수정 사항은 DDOS 7.12에서 제공됩니다. 이 버그 수정은 pkcs12 파일에사용된 알고리즘에 대한 유효성 검사를 추가합니다. 알고리즘이 "PBE-SHA1-3DES"가 아닌 경우프로세스가 중단되고 고객에게 친숙한 오류가 발생합니다. 위의 해결 방법이 계속 적용됩니다.