Data Domain: Zastąpienie certyfikatu IDPA "OpenSSL Error. Błąd podczas zmiany hasła do pliku PKCS12."

Aby zweryfikować algorytm szyfrowania pliku PKCS12, skopiuj plik na maszynę ACM i uruchom: 

# openssl pkcs12 -info -in keystore.p12 -noout

Zastąp keystore.p12 plikiem pkcs12 klienta. Przykładowe dane wyjściowe wyglądają następująco. Jeśli na danych wyjściowych nie ma PBE-SHA1-3DES, oznacza to, że nie jest on obsługiwany przez DD:

Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag

Aby obejść ten problem, skopiuj ten niezgodny plik PKCS12 na maszynę ACM, a następnie przekonwertuj plik PKCS12 na zgodny plik, wykonując następujące czynności:

Krok 1: Wyeksportuj parę kluczy z niezgodnego pliku magazynu kluczy PKCS12 do pliku formatu PEM o nazwie temp.pem:

openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem

Krok 2: Przekonwertuj plik pary kluczy temp.pem na zgodny plik PKCS12 z PBE-SHA1-3DES algorithm:

openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234

Krok 3: (Opcjonalnie) Sprawdź poprawność algorytmu konwertowanego pliku:

openssl pkcs12 -info -in Compliantkeystore.p12 -noout

Poprawka na przyszłość

Rozwiązanie tego problemu zostanie dostarczone w systemie DDOS 7.12. Poprawka dodaje walidację algorytmu używanego w pliku pkcs12. Jeśli algorytm jest inny niż "PBE-SHA1-3DES", proces zostanie przerwany i zgłosi klientowi błąd przyjazny dla użytkownika. Powyższe obejście nadal obowiązuje.