<div dir="auto">I inspected the default one and it had RC2. The certpbe and keypbe are there but no explanation like others on the same page.<div dir="auto"><br></div><div dir="auto">Tried certpbe didn't work seems application was using FIPS so used Keypbe to replace AES-CBC with 3DES. It worked then. Thanks</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 1, 2023, 11:20 PM Michael Wojcik via openssl-users <<a href="mailto:openssl-users@openssl.org">openssl-users@openssl.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> From: Newbie User <<a href="mailto:n3wbie001@gmail.com" target="_blank" rel="noreferrer">n3wbie001@gmail.com</a>> <br>
> Sent: Wednesday, 1 March, 2023 07:32<br>
<br>
> I also saw a keypbe option. Do we have any official docs for all these? Didn't see anything explained in<br>
> OpenSSL docs for this.<br>
<br>
I don't know where you were looking, but:<br>
<br>
<a href="https://www.openssl.org/docs/man1.1.1/man1/pkcs12.html" rel="noreferrer noreferrer" target="_blank">https://www.openssl.org/docs/man1.1.1/man1/pkcs12.html</a><br>
<br>
lists the -keypbe and -certpbe options, and in the Notes section it refers you to the pkcs8 man page:<br>
<br>
<a href="https://www.openssl.org/docs/man1.1.1/man1/pkcs8.html" rel="noreferrer noreferrer" target="_blank">https://www.openssl.org/docs/man1.1.1/man1/pkcs8.html</a><br>
<br>
and the Notes section of *that* page lists the available suites you can use. I believe the OpenSSL 3.0 man pages are similar. I haven't looked at the 1.0.2 man pages recently.<br>
<br>
> Also why isn't it by default 3DES as RC2 is deprecated long time back.<br>
<br>
That I can't answer. There was an issue raised a few years ago (<a href="https://github.com/openssl/openssl/issues/12227" rel="noreferrer noreferrer" target="_blank">https://github.com/openssl/openssl/issues/12227</a>) which pointed out in 3.0 RC2 requires the legacy provider, so with 3.0 you have to use either -certpbe or -provider or openssl pkcs12 fails. I didn't see one about using an RC2-based PBE for the default certificate PBE, but maybe there is one. If not, you could raise it.<br>
<br>
-- <br>
Michael Wojcik<br>
</blockquote></div>