Data Domain:IDPA 憑證更換「OpenSSL 錯誤。變更 PKCS12 檔案的密碼時發生錯誤。」
摘要: 嘗試透過 DD CLI 或 UI 上傳 PKCS12 認證檔案時,DD 憑證更換失敗,並顯示錯誤:「error **** OpenSSL error.變更 PKCS12 檔案的密碼時發生錯誤。」
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
嘗試透過 Data Domain 命令列介面 (CLI) 或 UI 上傳 PKCS12 認證檔案時,發生以下錯誤:
****OpenSSL 錯誤。變更 PKCS12 檔案密碼時發生錯誤
****OpenSSL 錯誤。變更 PKCS12 檔案密碼時發生錯誤
原因
發生此問題是因為只有
pbeWithSHA1And3-KeyTripleDES-CBC Data Domain 支援 (PBE-SHA1-3DES) 加密演算法。
若要驗證 PKCS12 檔案加密演算法,請將檔案複製到 ACM 機器並執行:
# openssl pkcs12 -info -in keystore.p12 -noout
將 keystore.p12 替換為客戶 pkcs12 檔案。範例輸出如下所示。如果輸出未顯示 PBE-SHA1-3DES,則代表 DD 不支援:
Enter Import Password: xxxx
MAC Iteration 1024
MAC verified OK
PKCS7 Data
Shrouded Keybag: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
PKCS7 Encrypted data: PBES2, PBKDF2, DES-EDE3-CBC, Iteration 1024, PRF hmacWithSHA1
Certificate bag
解析度
因應措施是將此不相容的 PKCS12 檔案複製到 ACM 機器,然後使用下列步驟將 PKCS12 檔案轉換為相容的檔案:
步驟 1:將金鑰對從不相容的 PKCS12 金鑰存放區檔案匯出至 名為 temp.pem 的PEM 格式檔案:
openssl pkcs12 -in nonCompliantkeystore.p12 -out temp.pem
步驟 2:使用 PBE-SHA1-3DES將 temp.pem 金鑰對檔案轉換為相容的 PKCS12 檔案 algorithm:
openssl pkcs12 -export -in temp.pem -out Compliantkeystore.p12 -name "new" -macalg SHA256 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -passout pass:Idpa_1234
步驟 3:(選擇性)驗證轉換後的檔案演算法:
openssl pkcs12 -info -in Compliantkeystore.p12 -noout
未來修正
此問題的修正將於 DDOS 7.12 提供。此修正會新增對 pkcs12 檔案中使用的演算法的驗證。如果演算法不是「PBE-SHA1-3DES」,程序將會中止,並向客戶擲回使用者友好的錯誤。上述因應措施仍然適用。
受影響的產品
Data Domain, PowerProtect Data Protection Appliance, PowerProtect Data Manager Appliance文章屬性
文章編號: 000220150
文章類型: Solution
上次修改時間: 19 8月 2025
版本: 4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。