Ajouter un certificat au keystore de eDSN

Lundi matin Net-Entreprises informe du remplacement des autorités de certification du site de France Travail pour le mercredi (sic) ... Ceci impactera les flux M2M de eDSN lors du téléchargement des Attestations d'Emploi Rematérialisées (CRM de nature 44).

Net entreprises fournit les nouveaux certificats. Vous pouvez les installer dans le "keystore" votre eDSN, ou attendre que le support client mette à disposition une nouvelle version.

Quelques notions de base :

HandShake : les serveurs contrôlent qu'ils se connaissent avant d'échanger des données. Le serveur distant va présenter son certificat. eDSN va le contrôler par rapports à ceux dont il dispose. S'il n'est pas reconnu, une erreur sera levée :

SSLHandshakeException invoking https://teledeclarants.francetravail.fr: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Certificat : Fichier qui assure de l'identité de son titulaire. Il est certifié par une autorité.

CA : autorité de certification, organisme qui valide l'authenticité d'un certificat (on peut trouver des CA intermédiaires et des ROOT CA racine. Les "intermédiaires" sont certifiés par une autre autorité. Seuls les "racine" sont "autocertifiés"). Par analogie, votre acte de naissance peut être certifié par un agent de votre mairie, qui lui même peut être certifié par un notaire.

Le keystore eDSN est un "Magasin de clés". Le keystore fourni par eDSN ne contient que les CA intermédiaires et racines des services M2M. Tant que ceux ci restent valables, le handshake sera correct.

En testant l'URL France Travail (avec la commande "m2m-plus certificates") on constate la présence d'un certificat dont la fin de validité est au 18/06/2025, une CA et une rootCA "Entrust" à fin 2030. 

m2m-plus certificates -c $SIGACS/DSN/edsn-home/conf/com.soprahr.edsn.m2m.cfg https://teledeclarants.francetravail.fr/

m2m-plus 11.1.0 

Command line tools dedicated to diagnose M2M connections

Connecting: https://teledeclarants.francetravail.fr/

Connection status: 403 Forbidden

Certificate #1 (X.509)

Subject principal: CN=teledeclarants.francetravail.fr, SERIALNUMBER=130 005 481 00010, OID.2.5.4.15=Government Entity, O=France Travail, OID.1.3.6.1.4.1.311.60.2.1.3=FR, L=Paris, C=FR

Subject alternatives: [[2, teledeclarants.francetravail.fr]]

Issuer principal: CN=Entrust Certification Authority - L1M, OU="(c) 2014 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US

Not valid before: 2024-06-18T13:27:39Z

Not valid after: 2025-06-18T13:27:38Z

Serial number: e20b8759c9c45e7c14e9671ced40ee3

-----BEGIN CERTIFICATE-----

MIIHEDCCBfigAwIBAgIQDiC4dZycRefBTpZxztQO4zANBgkqhkiG9w0BAQsFADCB

...

-----END CERTIFICATE-----

Certificate #2 (X.509)

Subject principal: CN=Entrust Certification Authority - L1M, OU="(c) 2014 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US

Issuer principal: CN=Entrust Root Certification Authority - G2, OU="(c) 2009 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US

Not valid before: 2014-12-15T15:25:03Z

Not valid after: 2030-10-15T15:55:03Z

Serial number: 61a1e7d20000000051d366a6

-----BEGIN CERTIFICATE-----

MIIFLTCCBBWgAwIBAgIMYaHn0gAAAABR02amMA0GCSqGSIb3DQEBCwUAMIG+MQsw

...

-----END CERTIFICATE-----

Certificate #3 (X.509)

Subject principal: CN=Entrust Root Certification Authority - G2, OU="(c) 2009 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US

Issuer principal: CN=Entrust Root Certification Authority - G2, OU="(c) 2009 Entrust, Inc. - for authorized use only", OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US

Not valid before: 2009-07-07T17:25:54Z

Not valid after: 2030-12-07T17:55:54Z

Serial number: 4a538c28

-----BEGIN CERTIFICATE-----

MIIEPjCCAyagAwIBAgIESlOMKDANBgkqhkiG9w0BAQsFADCBvjELMAkGA1UEBhMC

...

-----END CERTIFICATE-----

Si l'on inspecte le keystore de eDSN, on retrouve les numéros de série des certificats intermédiaire et racine :

keytool -list -keystore dsn-m2m.keystore  -storepass ******** -v | egrep "^Alias name:|^Serial number:|^Nom d'alias :|^Numéro de série :"                                                                                     

Nom d'alias : aaacertificateservices

Numéro de série : 1

Nom d'alias : certigna

Numéro de série : fedce3010fc948ff

Nom d'alias : certignaservicesca

Numéro de série : 6f82fa28acd6f784bb5b120ba87367ad

Nom d'alias : certignawildca

Numéro de série : ab078deedddac72305f5ed8c5084f895

Nom d'alias : digicertglobalg2tlsrsasha2562020ca1

Numéro de série : 85f94c02d857be8cc14ff53eda23e2a

Nom d'alias : digicertglobalrootca

Numéro de série : 83be056904246b1a1756ac95991c74a

Nom d'alias : digicertglobalrootg2

Numéro de série : 33af1e6a711a9a0bb2864b11d09fae5

Nom d'alias : digicerttlsrsasha2562020ca1

Numéro de série : 6d8d904d5584346f68a2fa754227ec4

Nom d'alias : entrustcertificationauthorityl1m

Numéro de série : 61a1e7d20000000051d366a6

Nom d'alias : entrustrootcertificationauthorityg2

Numéro de série : 4a538c28

Nom d'alias : geotrustrsaca2018

Numéro de série : 546fe1823f7e1941da39fce14c46173

Nom d'alias : marketwareserverca2

Numéro de série : 26c314d2cce4429158387ccd1cb3adb9

Nom d'alias : sectigopublicserverauthenticationcaevr36

Numéro de série : 6d4f7cad335377c8c6e001dde2e2c88e

Nom d'alias : sertigoqualifiedwebsiteauthenticationcar35

Numéro de série : 2762378048a1b3628d507e29220de220

Nom d'alias : usertrustrsacertificationauthority

Numéro de série : 1fd6d30fca3ca51a81bbc640e35032d

Nom d'alias : usertrustrsacertificationauthorityaaa2025

Numéro de série : 3972443af922b751d7d36c10dd313595

 

NB : le mot de passe du keystore est à retrouver dans la documentation eDSN

Dans son mail du lundi matin, Net entreprises fournit 4 fichiers ".pem". 

Une fois sur le serveur, la commande keytool permet d'en afficher les propriétés :

keytool -printcert -file "$F" myFile.pem

En filtrant sur quelques propriétés (dont le numéro de série) : 

for F in *.pem

do

echo "========= $F"

RES=$(keytool -printcert -file "$F" )

echo "$RES" | grep -E "^Propriétaire|^Num.ro de s.rie :|^SHA256|^Valide du"

echo "$RES" | grep -E -A3 "^SubjectKeyIdentifier|^AuthorityKeyIdentifier"

done  

 

========= CN=AAA Certificate Services, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, C=GB.pem

Warning: Certificat uses the SHA1withRSA signature algorithm which is considered a security risk and is disabled.

Propriétaire : CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, ST=Greater Manchester, C=GB

Numéro de série : 1

Valide du Thu Jan 01 01:00:00 CET 2004 au Mon Jan 01 00:59:59 CET 2029

SubjectKeyIdentifier [

KeyIdentifier [

0000: A0 11 0A 23 3E 96 F1 07   EC E2 AF 29 EF 82 A5 7F  ...#>......)....

0010: D0 30 A4 B4                                        .0..  

========= Sectigo Public Server Authentication CA EV R36.pem

Propriétaire : CN=Sectigo Public Server Authentication CA EV R36, O=Sectigo Limited, C=GB

Numéro de série : 6d4f7cad335377c8c6e001dde2e2c88e

Valide du Mon Mar 22 01:00:00 CET 2021 au Sat Mar 22 00:59:59 CET 2036

AuthorityKeyIdentifier [

KeyIdentifier [

0000: 56 73 58 64 95 F9 92 1A   B0 12 2A 04 62 79 A1 40  VsXd......*.by.@

0010: 15 88 21 49                                        ..!I

--

SubjectKeyIdentifier [

KeyIdentifier [

0000: 98 2D 5E 1E 8F EB 54 F4   B9 FF 55 95 AD 4C C7 7E  .-^...T...U..L..

0010: A4 98 AE 7B                                        ....

========= Sectigo Public Server Authentication Root R46.pem

Propriétaire : CN=Sectigo Public Server Authentication Root R46, O=Sectigo Limited, C=GB

Numéro de série : d27fbbc1de359e5216ad6149586099c4

Valide du Mon Mar 22 01:00:00 CET 2021 au Tue Jan 19 00:59:59 CET 2038

AuthorityKeyIdentifier [

KeyIdentifier [

0000: 53 79 BF 5A AA 2B 4A CF   54 80 E1 D8 9B C0 9D F2  Sy.Z.+J.T.......

0010: B2 03 66 CB                                        ..f.

--

SubjectKeyIdentifier [

KeyIdentifier [

0000: 56 73 58 64 95 F9 92 1A   B0 12 2A 04 62 79 A1 40  VsXd......*.by.@

0010: 15 88 21 49                                        ..!I

========= USERTrust RSA Certification Authority.pem

Propriétaire : CN=USERTrust RSA Certification Authority, O=The USERTRUST Network, L=Jersey City, ST=New Jersey, C=US

Numéro de série : 1fd6d30fca3ca51a81bbc640e35032d

Valide du Mon Feb 01 01:00:00 CET 2010 au Tue Jan 19 00:59:59 CET 2038

SubjectKeyIdentifier [

KeyIdentifier [

0000: 53 79 BF 5A AA 2B 4A CF   54 80 E1 D8 9B C0 9D F2  Sy.Z.+J.T.......

0010: B2 03 66 CB                                        ..f. 

 Ainsi la "Sectigo Public Server Authentication CA EV R36" fait référence au certificat de l'autorité "Sectigo Public Server Authentication Root R46", qui elle-même fait référence au certificat de l'autorité "USERTrust RSA Certification Authority".

Le premier et le dernier fichier ".pem" sont déjà présents dans le keystore (on y retrouve leur numéro de série). Mais les deux certificats intermédiaires en sont absents.

Donc parmi les fichiers du ZIP :

• CN=AAA Certificate Services, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, C=GB.pem (est déjà présent - même s'il ne semble pas utile, et obsolète ...)
• Sectigo Public Server Authentication CA EV R36.pem (est nouveau)
• Sectigo Public Server Authentication Root R46.pem (est nouveau)
• USERTrust RSA Certification Authority.pem (est déjà présent)

Si France Travail avait mis à jour son certificat teledeclarants.francetravail.fr sans changer d'autorité intermédiaire, la mise à jour n'aurait pas eu d'effet sur l'application. Mais les autorités intermédiaires ont été modifiées. Il est donc nécessaire d'ajouter ces nouvelles autorités au keystore.

Pour charger un ".pem" dans le keystore, utiliser la commande :

keytool --importcert -storepass ***** -keystore dsn-m2m.keystore -alias myNewAlias -file "/myPath/myFile.pem"

Adaptez myNewAlias et /myPath/myFile.pem.

Faites une copie de sauvegarde du keystore originel.

NB : si le certificat est déjà présent, la commande le signalera et vous demandera confirmation (dès lors, répondre non)

PS : dans le pire des cas il est possible d'inhiber certains contrôles faits par l'application (paramètres disableTLSCheck et disableCNCheck) mais ceci doit être temporaire pour ne pas compromettre la sécurité des échanges.

OPHRS3003 I/O error when pre-processing message

OpenHR semble démarré, 

Mais un ce message d'erreur apparaît quand on lance le serveur de Query ou HRaSpace :

2025-06-06T08:34:20,897 INFO  [        ][               ][main] - OPHRS1001 Starting OpenHR server - Release 7.40.06003.00000 
2025-06-06T08:34:20,901 INFO  [        ][               ][main] - OPHRS1002 Loading configuration from file </hr9dev/openhr/conf/dispatcher.properties>
2025-06-06T08:34:20,914 INFO  [        ][               ][main] - HR component versions:
   hr-openhr-api=2.0.2
   hrapplication=7.40.06003.00000
 
2025-06-06T08:34:20,914 INFO  [        ][               ][main] - System properties:
   file.encoding=ISO-8859-1
   file.separator=/
   hr.bootjars.dirs=/hr9dev/openhr/lib/boot
   hr.jars.dirs=/hr9dev/openhr/lib
...
2025-06-06T08:20:13,809 INFO  [        ][               ][main] - OPHRS1011 Server's configuration is 
... 
    hr_design.executable=RTSDGN TYBXBHR
...
2025-06-06T08:34:20,918 INFO  [        ][               ][main] - OPHRS1030 HR Design Server address has been automatically set to <127.0.0.1>.
2025-06-06T08:34:20,919 INFO  [        ][               ][main] - OPHRS1080 HR Design server's encoding is <ISO8859-15>
2025-06-06T08:34:20,926 INFO  [        ][               ][main] - OPHRS1051 Registered service <RemoteService>
2025-06-06T08:34:20,927 INFO  [        ][               ][main] - OPHRS1051 Registered service <LocalService>
2025-06-06T08:34:20,927 INFO  [        ][               ][main] - OPHRS1050 MessageDispatcher successfully initialized
2025-06-06T08:34:20,944 INFO  [00000001][xxx.xxx.xxx.xxx][MessageProcessor-1] - OPHRS1070 Service <Default>: pool size set to <5> instances
2025-06-06T08:34:20,945 INFO  [00000001][xxx.xxx.xxx.xxx][MessageProcessor-1] - OPHRS1071 Service <Default>: idle time-out set to <200> second(s)
2025-06-06T08:34:20,945 INFO  [00000001][xxx.xxx.xxx.xxx][MessageProcessor-1] - OPHRS1072 Service <Default>: working time-out set to <2000> second(s)
2025-06-06T08:34:20,945 INFO  [00000001][xxx.xxx.xxx.xxx][MessageProcessor-1] - OPHRS1073 Service <Default>: maximum retry count set to <1>
2025-06-06T08:34:20,945 INFO  [00000001][xxx.xxx.xxx.xxx][MessageProcessor-1] - OPHRS1074 Service <Default>: delay before retry set to <1> second(s)
2025-06-06T08:34:20,945 INFO  [00000001][xxx.xxx.xxx.xxx][MessageProcessor-1] - OPHRS1075 Service <Default>: message's maximal wait time (in queue) is <10> second(s)
2025-06-06T08:34:20,946 INFO  [00000001][xxx.xxx.xxx.xxx][MessageProcessor-1] - OPHRS1077 Queued a new message for service <Default>
2025-06-06T08:34:45,281 ERROR [00000003][172.18.236.29  ][MessageProcessor-2] - OPHRS3003 I/O error when pre-processing message (Client: <172.18.236.29/43318>)
com.hraccess.commons.io.InvalidBlockSizeException: Found an invalid input block size of 808464432 bytes
        at com.hraccess.commons.io.CompressedBlockInputStream.readAndDecompress(CompressedBlockInputStream.java:92) ~[hr-kernel-3.0.0.jar:?]
        at com.hraccess.commons.io.CompressedBlockInputStream.read(CompressedBlockInputStream.java:185) ~[hr-kernel-3.0.0.jar:?]
        at sun.nio.cs.StreamDecoder.readBytes(StreamDecoder.java:270) ~[?:?]
        at sun.nio.cs.StreamDecoder.implRead(StreamDecoder.java:313) ~[?:?]
        at sun.nio.cs.StreamDecoder.read(StreamDecoder.java:188) ~[?:?]
... 

Un premier constat est la présence d'une erreur de type I/O (accès en lecture/écriture)

On constate aussi que l'erreur se produit 15 secondes après la fin du "démarrage" de OpenHR (en fait, le démarrage de HRD Query : ce dernier invoque OpenHR pour obtenir des informations qui lui sont nécessaires).

Si l'on compare les logs OpenHR avec celles d'un autre environnement, on constate que le démarrage OpenHR de l'environnement incidenté est incomplet. Il devrait se poursuivre par un :

OPHRS1004 HR Design server version is <7.000>
Loading XML bean definitions from file [/logi/hraccess90/hr9de5/openhr/conf/services.xml]
Loading XML bean definitions from file [/logi/hraccess90/hr9de5/openhr/conf/security.xml]
OPHRS1109 Servers context initialized
OPHRS1013 Merged configuration is
... 

 

Et surtout par un message :

OPHRS1999 OpenHR server is ready for business (Release <7.000>)

En l'occurrence, OpenHR devrait démarrer l'exécutable RTSDGN

Les deux origines possible de l'erreur que j'ai rencontrées sont :

• Mauvais paramétrage : dans le fichier openhr/conf/dispatcher.properties le paramètre hr_design.executable contenait les mots clefs "RTSDGN $HRPREFBHR" issus du livrable de l'éditeur. Il a suffit de corriger la configuration pour indiquer "RTSDGN TYBXBHR".
• Mauvaise recomplation : dans $SIGACS/bin l'exécutable RTSDGN provenait de la copie depuis une machine dont les binaires n'étaient pas compatible. Il a fallu recompiler les programmes C, regénérer les programmes Cobol, relinker le RTSDGN.

(On peut aussi imaginer un problème d'accès lié aux droits Unix)

Execution error : error code: 162, Arithmetic overflow or underflow

A l'occasion d'une migration Linux, le projet a recompilé l'application avec une nouvelle version de Microfocus Cobol et de nouvelles options.

A l'occasion de tests batch, le programme de calcul de paie s'interrompt parfois avec l'erreur :

Execution error : file 'JFCALDBI'
error code: 162, pc=0, call=1, seg=0
162     Arithmetic overflow or underflow

Il se trouve qu'un traitement de paie effectue une division par zéro.

En effet les options utilisées avec le nouveau compilateur Visual Cobol sont moins permissives que celles de l'ancien Server Express. 

• NOCHECK
• (NO)CHECKDIV qui contrôle  les divisions par zéro
• (NO)CHECKNUM qui contrôle la numéricité des rubriques
• BOUND contrôle les débordements de tableau occursés.

L'option NOCHECK désactive les options CHECKNUM et CHECKDIV. 

Avec NOCHECKDIV une division par zéro provoque une erreur bloquante du programme.

Si cela se produit en développement ou recette, il est possible d'activer des traces, repérer le traitement fautif et lui ajouter un contrôle pour ne pas provoquer l'erreur. Problème : si l'arrêt brutal du programme se produit en production, il met en danger l'exploitation des traitements batch.  

Pour débloquer la situation et laisser passer les divisions par zéro et les débordements de tableaux, retirer -C NOCHECK et -C BOUND puis placer les options suivantes dans le fichier adm/cfg/config :

COBFLAGS=-C ASSIGN=EXTERNAL -C SEQUENTIAL=LINE -C NOANIM -C NOCSI -C CHECKDIV -C NOCHECKNUM -C NOSERIAL -C IBMCOMP -C SIGN=EBCDIC -C WRITELOCK -C NOTRUNC -C NOBOUND -C PERFORM-TYPE=MF -C COPYLIST -C NORESEQ -C TRACE -U

Recompiler les programmes.

On supprime NOCHECK que l'on décompose en CHECKDIV et NOCHECKNUM.
On remplace BOUND par NOBOUND.

Attention toutefois : si le programme semble se dérouler normalement, une division par zéro donne "an undefined result" ... Quand au débordement de tableau, il écrase les variables définies au delà.

Migration, évolution de mksh, comportement de la commandes de test

Les commandes de test avec les opérateurs AND et OR suivants [ condition1 -a condition2 ] et  [ condition1 -o condition2 ] peuvent ne pas être interprétées de la même manière en fonction de la version de mksh.

Avec l'ancienne machine :

hr9@srv001:/home/adm/hr9> echo "$KSH_VERSION"
@(#)MIRBSD KSH R39 2009/08/01
hr9@srv001:/home/adm/hr9> VAR1=""
hr9@srv001:/home/adm/hr9> VAR2=""
hr9@srv001:/home/adm/hr9> [ ! "${VAR1}" -a "${VAR2}" ] && echo "Erreur"

<Pas d'erreur>

Avec la nouvelle machine

hr9@srv002:/home/adm/hr9> echo "$KSH_VERSION"
@(#)MIRBSD KSH R56 2018/01/14

hr9@srv002:/home/adm/hr9> VAR1=""
hr9@srv002:/home/adm/hr9> VAR2=""
hr9@srv002:/home/adm/hr9> [ ! "${VAR1}" -a "${VAR2}" ] && echo "Erreur"

Erreur

Consigne :

• Ne pas utiliser dans les tests les opérateurs "-a" (AND) et "-o" (OR)

Préférer les syntaxes : 

• pour AND : [ condition1 ] && [ condition2 ]
• pour OR : [ condition1 ] || [ condition2 ]

ou

• pour AND : [[ condition1 && condition2 ]]
• pour OR : [[ condition1 || condition2 ]]

Et les regroupements :

[[ (condition1 && condition2) || condition3 ]]

Attention aux autres subtilités de l'opérateur [[ ... ]] (opérateurs numériques < == >, globalisation ... )

Tester l'ouverture des flux avec Test-NetConnection de PowerShell

Ci dessous un script PowerShell pour tester les connexions depuis un poste client Windows vers un serveur HR Access.

Dans cet exemple le serveur HR est à l'adresse 192.168.126.1 et la base de données sur 192.168.126.2

Les ports du LISTENER, du HTTP, AP0, SSH sont 1521, 1100, 1101 et 22

L'applicatif doit être démarré et à l'écoute.

Avoir exécuté la commande ipconfig /flushdns dans une fenêtre de commande DOS
Exécuter, dans une fenêtre PowerShell, le script ci-dessous :

$ipList = @(
@{IP="192.168.126.2"; Port=1521},
@{IP="192.168.126.1"; Port=1100},
@{IP="192.168.126.1"; Port=1101},
@{IP="192.168.126.1"; Port=22 }
)

$logFile = "test-netconnection.log"
"" | Out-File -FilePath $logFile

Write-Host "Les résultats sont enregistrés dans $logFile" -ForegroundColor Cyan

foreach ($entry in $ipList) {
$ip = $entry.IP
$port = $entry.Port
$result = Test-NetConnection -ComputerName $ip -Port $port

if ($result.TcpTestSucceeded) {
$message = "${ip}:${port} est accessible"
Write-Host "${ip}:${port} est accessible" -ForegroundColor Green
} else {
$message = "${ip}:${port} est injoignable"
Write-Host "${ip}:${port} est injoignable" -ForegroundColor Red
}

$timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"
"$timestamp - $message" | Out-File -FilePath $logFile -Append
}

Résultat (si les flux sont ouverts et les applications à l'écoute) :

192.168.126.2:1521 est accessible
192.168.126.1:1100 est accessible
192.168.126.1:1101 est accessible
192.168.126.1:22 est accessible

Wallet Oracle et SQLPlus

Créer un wallet Oracle permet d'y stocker les mots de passe de coinnexion, et ainsi d'éviter de retrouver des sqlplus HR/PASSWORD dans les scripts d'exploitation

Exemple (sur une machine disposant du client Oracle)

La base est HR9DEV hébergée par le serveur HOST_HR9DEV, les comptes HR et JETSPEED. Nous allons créer des alias HR9DEV_HR et HR9DEV_JETSPEED.

Les commandes permettent d'indiquer le mot de passe en ligne. Pour éviter qu'il ne soit accessible dans l'historique de commande, préférer répondre à la question  qui sera posée.

mkdir $HOME/.wallet

chmod 700 $HOME/.wallet

cd $HOME/.wallet

mkstore -wrl . -create

Oracle Secret Store Tool Release 19.0.0.0.0 - Production
Version 19.3.0.0.0
Copyright (c) 2004, 2019, Oracle and/or its affiliates. All rights reserved.
Enter password: *******
Enter password again: *******

mkstore -wrl . -createCredential HR9DEV_JETSPEED JETSPEED

Oracle Secret Store Tool Release 19.0.0.0.0 - Production
Version 19.3.0.0.0
Copyright (c) 2004, 2019, Oracle and/or its affiliates. All rights reserved.
Your secret/Password is missing in the command line
Enter your secret/Password: ***
Re-enter your secret/Password: ***
Enter wallet password: *******