PowerProtect: Seria DP i IDPA: Luka w zabezpieczeniach "Podmiot certyfikatu X.509 CN nie odpowiada nazwie jednostki" dla portu 9443 serwera Avamar
Summary: Urządzenia z serii PowerProtect Data Protection (DP) i Integrated Data Protection Appliance (IDPA): Skanowanie luk w zabezpieczeniach wykryło komunikat "X.509 Certificate Subject CN Does Not Matches the Entity Name" dla portu 9443 serwera Avamar dla IDPA w wersji 2.7.7 lub starszej. Ten artykuł zawiera procedurę rozwiązania tego problemu. ...
Ця стаття стосується
Ця стаття не стосується
Ця стаття не стосується якогось конкретного продукту.
У цій статті зазначено не всі версії продукту.
Symptoms
Następujące luki w oprogramowaniu ochronnym (Avamar Server) mogą zostać wykryte dla wszystkich wersji IDPA w wersji 2.7.7 lub starszej:
| Tytuł luki w zabezpieczeniach | Wynik CVSS2 | Nazwa zasobu | Odporność na luki w zabezpieczeniach | Port | Protokół | Zalecenie |
| X.509 Podmiot certyfikatu CN nie jest zgodny z nazwą jednostki. | 7.1 | Avamar | Nazwa pospolita podmiotu znaleziona w certyfikacie X.509 nie jest zgodna z celem skanowania: Administrator CN podmiotu nie jest zgodny z nazwą systemu nazw domen (DNS) określoną w witrynie. | 9443 | TCP | Naprawiono pole nazwy pospolitej (CN) podmiotu w certyfikacie. |
Cause
Domyślny certyfikat SSL z podpisem własnym serwera Avamar na porcie 9443 ma nazwę pospolitą (CN) ustawioną na Administrator. W interfejsie sieciowym Avamar na porcie 9443 certyfikat przedstawia informacje CN w następujący sposób:
Rysunek 1: Domyślny certyfikat serwera Avamar na porcie 9443 pokazuje CN = Administrator.
Te same informacje można również znaleźć w danych wyjściowych wiersza poleceń:
Rysunek 1: Domyślny certyfikat serwera Avamar na porcie 9443 pokazuje CN = Administrator.
Te same informacje można również znaleźć w danych wyjściowych wiersza poleceń:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Poniżej przedstawiono procedurę aktualizacji certyfikatu na serwerze Avamar Server na porcie 9443:
1. Zatrzymaj usługi Avamar Management Console Server (MCS) i EM Tomcat (EMT):
2. Utwórz kopię zapasową i wygeneruj nowy certyfikat MCS Developer Kit (MCSDK):
3. Utwórz kopię zapasową i zaktualizuj certyfikat administratora:
w przypadku wersji Avamar 19.4 lub wcześniejszej:
W przypadku wersji Avamar 19.8 lub nowszej:
4. Zaktualizuj certyfikat Avinstaller:
5. Uruchom serwer Avamar MC i usługi EMT:
CN certyfikatu powinien zostać zaktualizowany do nazwy hosta. Oto przykładowe dane wyjściowe:
Rysunek 2: Nazwa CN certyfikatu jest zgodna z nazwą maszyny.
Te same informacje można znaleźć w danych wyjściowych wiersza poleceń:
Po wygenerowaniu nowego certyfikatu serwera Avamar MC informacje o serwerze Avamar Server muszą zostać zaktualizowane również w Data Protection Central (DPC):
1. Zaloguj się do sieciowego interfejsu użytkownika DPC jako administrator@dpc.local.
2. Wybierz Avamar Server z listy "System Management" i kliknij go "Edit".
3. Zaktualizuj poświadczenia Avamar. Nazwa użytkownika Avamar to "MCUser", a następnie kliknij przycisk "Next".
4. Zaakceptuj zmianę certyfikatu i zapisz ją.
Rysunek 3: Zaakceptuj nowy certyfikat serwera Avamar w DPC.
1. Zatrzymaj usługi Avamar Management Console Server (MCS) i EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Utwórz kopię zapasową i wygeneruj nowy certyfikat MCS Developer Kit (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Utwórz kopię zapasową i zaktualizuj certyfikat administratora:
w przypadku wersji Avamar 19.4 lub wcześniejszej:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
W przypadku wersji Avamar 19.8 lub nowszej:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Zaktualizuj certyfikat Avinstaller:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Uruchom serwer Avamar MC i usługi EMT:
dpnctl start mcs dpnctl start emt
CN certyfikatu powinien zostać zaktualizowany do nazwy hosta. Oto przykładowe dane wyjściowe:
Rysunek 2: Nazwa CN certyfikatu jest zgodna z nazwą maszyny.
Te same informacje można znaleźć w danych wyjściowych wiersza poleceń:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Po wygenerowaniu nowego certyfikatu serwera Avamar MC informacje o serwerze Avamar Server muszą zostać zaktualizowane również w Data Protection Central (DPC):
1. Zaloguj się do sieciowego interfejsu użytkownika DPC jako administrator@dpc.local.
2. Wybierz Avamar Server z listy "System Management" i kliknij go "Edit".
3. Zaktualizuj poświadczenia Avamar. Nazwa użytkownika Avamar to "MCUser", a następnie kliknij przycisk "Next".
4. Zaakceptuj zmianę certyfikatu i zapisz ją.
Rysunek 3: Zaakceptuj nowy certyfikat serwera Avamar w DPC.
Additional Information
W przypadku portów proxy Avamar 443 i 5480:
Następująca luka może zostać wykryta w serwerze proxy Avamar dla wszystkich wersji IDPA w wersji 2.7.6 lub starszej:
Problem został rozwiązany w Avamar Proxy w wersji 19.10. Uaktualnij IDPA do wersji 2.7.7, która zawiera oprogramowanie Avamar w wersji 19.10.
Obejście problemu dla IDPA w wersji 2.7.6 lub starszej można znaleźć w podręczniku użytkownika Dell Avamar dla VMware 19.9. Procedura znajduje się w sekcji "Importowanie certyfikatu niestandardowego w Avamar VMware Image Backup Proxy". Do tego dochodzą: Avamar: Jak wymienić certyfikat dla serwera proxy kopii zapasowej obrazu Avamar VMware ". (Wymaga uwierzytelnienia w portalu pomocy technicznej firmy Dell)
Następująca luka może zostać wykryta w serwerze proxy Avamar dla wszystkich wersji IDPA w wersji 2.7.6 lub starszej:
| Tytuł luki w zabezpieczeniach | Wynik CVSS2 | Nazwa zasobu | Odporność na luki w zabezpieczeniach | Port | Protokół | Zalecenie |
| X.509 Podmiot certyfikatu CN nie jest zgodny z nazwą jednostki. | 7.1 | Avamar Proxy | Nazwa pospolita podmiotu znaleziona w certyfikacie X.509 nie jest zgodna z celem skanowania: Administrator CN podmiotu nie jest zgodny z nazwą DNS określoną w lokacji. | 5480 / 443 | TCP | Naprawiono pole nazwy pospolitej (CN) podmiotu w certyfikacie. |
Problem został rozwiązany w Avamar Proxy w wersji 19.10. Uaktualnij IDPA do wersji 2.7.7, która zawiera oprogramowanie Avamar w wersji 19.10.
Obejście problemu dla IDPA w wersji 2.7.6 lub starszej można znaleźć w podręczniku użytkownika Dell Avamar dla VMware 19.9. Procedura znajduje się w sekcji "Importowanie certyfikatu niestandardowego w Avamar VMware Image Backup Proxy". Do tego dochodzą: Avamar: Jak wymienić certyfikat dla serwera proxy kopii zapasowej obrazu Avamar VMware ". (Wymaga uwierzytelnienia w portalu pomocy technicznej firmy Dell)
Продукти, яких це стосується
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Властивості статті
Article Number: 000227729
Article Type: Solution
Востаннє змінено: 14 серп. 2024
Version: 1
Отримайте відповіді на свої запитання від інших користувачів Dell
Служба підтримки
Перевірте, чи послуги служби підтримки поширюються на ваш пристрій.