PowerProtect : Série DP et IDPA : Faille de sécurité « X.509 Certificate Subject CN does not match the Entity Name » pour le port 9443 d’Avamar Server
Summary: Appliances PowerProtect série DP (DP) et Integrated Data Protection Appliance (IDPA) : Analyse des failles de sécurité détectée « Le certificat X.509 Subject CN ne correspond pas au nom de l’entité » pour le port 9443 d’Avamar Server pour IDPA version 2.7.7 ou inférieure. Cet article décrit une procédure pour résoudre ce problème. ...
Ця стаття стосується
Ця стаття не стосується
Ця стаття не стосується якогось конкретного продукту.
У цій статті зазначено не всі версії продукту.
Symptoms
Les failles de sécurité suivantes peuvent être détectées sur le logiciel de protection (Avamar Server) pour toutes les versions d’IDPA antérieures ou égales à 2.7.7 :
| Titre de la faille de sécurité | CVSS2 Score | Nom de ressource | À l’épreuve des failles de sécurité | Port | Protocole | Recommandation |
| L’objet du certificat X.509 CN ne correspond pas au nom de l’entité. | 7.1 | Avamar | Le nom commun de l’objet figurant dans le certificat X.509 ne correspond pas à la cible de l’analyse : L’objet Administrateur CN ne correspond pas au nom DNS (Domain Name System) spécifié sur le site. | 9443 | TCP | Corrigez le champ Nom commun (CN) de l’objet dans le certificat. |
Cause
Le nom commun (CN) du certificat SSL auto-signé Avamar Server par défaut sur le port 9443 est défini sur Administrateur. À partir de l’interface Web d’Avamar sur le port 9443, le certificat affiche les informations CN comme indiqué ci-dessous :
Figure 1 : Le certificat Avamar Server par défaut sur le port 9443 affiche le CN = Administrator.
En outre, les mêmes informations peuvent être trouvées à partir de la sortie de ligne de commande :
Figure 1 : Le certificat Avamar Server par défaut sur le port 9443 affiche le CN = Administrator.
En outre, les mêmes informations peuvent être trouvées à partir de la sortie de ligne de commande :
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Voici la procédure à suivre pour mettre à jour le certificat sur Avamar Server sur le port 9443:
1. Arrêtez les services Avamar Management Console Server (MCS) et EM Tomcat (EMT) :
2. Sauvegardez et générez un nouveau certificat MCS Developer Kit (MCSDK) :
3. Sauvegardez et mettez à jour le certificat administrateur :
Pour Avamar 19.4 ou versions antérieures :
Pour Avamar 19.8 ou versions supérieures :
4. Mettez à jour le certificat Avinstaller :
5. Démarrez le serveur Avamar MC et les services EMT :
Le CN du certificat doit avoir été mis à jour vers le nom d’hôte. Voici un exemple de sortie :
Figure 2 : Le CN du certificat est mis en correspondance avec le nom de la machine.
Les mêmes informations sont disponibles dans la sortie de ligne de commande :
Après la génération d’un nouveau certificat Avamar MC Server, les informations relatives à Avamar Server doivent également être mises à jour dans Data Protection Central (DPC) :
1. Connectez-vous à l’interface utilisateur Web de DPC en tant qu’administrator@dpc.local.
2. Sélectionnez l’instance d’Avamar Server dans System Management et Edit.
3. Mettez à jour les informations d’identification Avamar. Le nom d’utilisateur Avamar est « MCUser », puis cliquez sur « Next ».
4. Acceptez la modification du certificat et enregistrez-la.
Figure 3 : Acceptez un nouveau certificat de serveur Avamar dans DPC.
1. Arrêtez les services Avamar Management Console Server (MCS) et EM Tomcat (EMT) :
dpnctl stop mcs dpnctl stop emt
2. Sauvegardez et générez un nouveau certificat MCS Developer Kit (MCSDK) :
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Sauvegardez et mettez à jour le certificat administrateur :
Pour Avamar 19.4 ou versions antérieures :
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Pour Avamar 19.8 ou versions supérieures :
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Mettez à jour le certificat Avinstaller :
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Démarrez le serveur Avamar MC et les services EMT :
dpnctl start mcs dpnctl start emt
Le CN du certificat doit avoir été mis à jour vers le nom d’hôte. Voici un exemple de sortie :
Figure 2 : Le CN du certificat est mis en correspondance avec le nom de la machine.
Les mêmes informations sont disponibles dans la sortie de ligne de commande :
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Après la génération d’un nouveau certificat Avamar MC Server, les informations relatives à Avamar Server doivent également être mises à jour dans Data Protection Central (DPC) :
1. Connectez-vous à l’interface utilisateur Web de DPC en tant qu’administrator@dpc.local.
2. Sélectionnez l’instance d’Avamar Server dans System Management et Edit.
3. Mettez à jour les informations d’identification Avamar. Le nom d’utilisateur Avamar est « MCUser », puis cliquez sur « Next ».
4. Acceptez la modification du certificat et enregistrez-la.
Figure 3 : Acceptez un nouveau certificat de serveur Avamar dans DPC.
Additional Information
Pour les ports proxy Avamar 443 et 5480 :
La faille de sécurité suivante a pu être détectée sur Avamar Proxy pour toutes les versions d’IDPA antérieures ou égales à 2.7.6 :
Le problème a été résolu dans Avamar Proxy version 19.10. Effectuez une mise à niveau vers IDPA version 2.7.7 qui inclut Avamar version 19.10.
Vous trouverez une solution de contournement pour IDPA 2.7.6 ou versions antérieures dans le Guide de l’utilisateur de Dell Avamar for VMware 19.9. La procédure se trouve dans la section « Importation d’un certificat personnalisé dans le proxy de sauvegarde d’image VMware Avamar ». Il y a aussi : Avamar : Comment remplacer le certificat du proxy de sauvegarde d’image VMware Avamar ? (nécessite une authentification sur le portail de support Dell)
La faille de sécurité suivante a pu être détectée sur Avamar Proxy pour toutes les versions d’IDPA antérieures ou égales à 2.7.6 :
| Titre de la faille de sécurité | CVSS2 Score | Nom de ressource | À l’épreuve des failles de sécurité | Port | Protocole | Recommandation |
| L’objet du certificat X.509 CN ne correspond pas au nom de l’entité. | 7.1 | Avamar Proxy | Le nom commun de l’objet figurant dans le certificat X.509 ne correspond pas à la cible de l’analyse : L’administrateur CN concerné ne correspond pas au nom DNS spécifié sur le site. | 5480 / 443 | TCP | Corrigez le champ Nom commun (CN) de l’objet dans le certificat. |
Le problème a été résolu dans Avamar Proxy version 19.10. Effectuez une mise à niveau vers IDPA version 2.7.7 qui inclut Avamar version 19.10.
Vous trouverez une solution de contournement pour IDPA 2.7.6 ou versions antérieures dans le Guide de l’utilisateur de Dell Avamar for VMware 19.9. La procédure se trouve dans la section « Importation d’un certificat personnalisé dans le proxy de sauvegarde d’image VMware Avamar ». Il y a aussi : Avamar : Comment remplacer le certificat du proxy de sauvegarde d’image VMware Avamar ? (nécessite une authentification sur le portail de support Dell)
Продукти, яких це стосується
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Властивості статті
Article Number: 000227729
Article Type: Solution
Востаннє змінено: 14 серп. 2024
Version: 1
Отримайте відповіді на свої запитання від інших користувачів Dell
Служба підтримки
Перевірте, чи послуги служби підтримки поширюються на ваш пристрій.