Data Domain:IDPA 证书更换“OpenSSL Error.更改 PKCS12 文件的密码时出错。”
요약: 尝试通过 DD CLI 或 UI 上传 PKCS12 证书文件时,DD 证书更换失败,并显示错误:“error **** OpenSSL Error.更改 PKCS12 文件的密码时出错。”
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
尝试通过 Data Domain 命令行界面 (CLI) 或 UI 上传 PKCS12 证书文件时,遇到以下错误:
****OpenSSL 错误。更改 PKCS12 文件的密码时出错
****OpenSSL 错误。更改 PKCS12 文件的密码时出错
원인
出现此问题是因为只有
pbeWithSHA1And3-KeyTripleDES-CBC Data Domain 支持 (PBE-SHA1-3DES) 加密算法。
要验证 PKCS12 文件加密算法,请将文件复制到 ACM 计算机并运行:
# openssl pkcs12 -info -in keystore.p12 -noout
将 keystore.p12 替换为客户 pkcs12 文件。输出示例如下所示。如果输出未显示 PBE-SHA1-3DES,则不受 DD 支持:
Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag
해결
要解决此问题,请将此不合规的 PKCS12 文件复制到 ACM 计算机,然后使用以下步骤将 PKCS12 文件转换为合规文件:
步骤 1:将密钥对从不合规的 PKCS12 密钥库文件导出到 名为 temp.pem 的 PEM 格式文件:
openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem
步骤 2:使用 PBE-SHA1-3DES将 temp.pem 密钥对文件转换为兼容的 PKCS12 文件 algorithm:
openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234
步骤 3:(可选)验证转换后的文件算法:
openssl pkcs12 -info -in Compliantkeystore.p12 -noout
未来修复
此问题的修复将在 DDOS 7.12 中提供。此修复增加了对 pkcs12 文件中使用的算法的验证。如果算法不是“PBE-SHA1-3DES”,则该过程将中止并向客户抛出用户友好的错误。上述解决方法仍然适用。
해당 제품
Data Domain, PowerProtect Data Protection Appliance, PowerProtect Data Manager Appliance문서 속성
문서 번호: 000220150
문서 유형: Solution
마지막 수정 시간: 19 8월 2025
버전: 4
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.