PowerProtect: DP-serien og IDPA: Sikkerhedsrisikoen "X.509 Certificate Subject CN does not match the Entity Name" for Avamar Server Port 9443
Summary: Enheder i PowerProtect Data Protection (DP)-serien og IDPA (Integrated Data Protection Appliance): Scanning efter sikkerhedssårbarheder registreret "X.509-certifikatemne: CN stemmer ikke overens med enhedsnavnet" for Avamar Serverport 9443 til IDPA version 2.7.7 eller derunder. Denne artikel indeholder en procedure til løsning af problemet. ...
Ця стаття стосується
Ця стаття не стосується
Ця стаття не стосується якогось конкретного продукту.
У цій статті зазначено не всі версії продукту.
Symptoms
Følgende sårbarheder kan påvises på beskyttelsessoftwaren (Avamar Server) for alle IDPA-versioner på eller derunder 2.7.7:
| Titel på sårbarhed | CVSS2-resultat | Navn på aktiv | Sikret mod sårbarhed | Port | Protokol | Anbefaling |
| X.509-certifikatemne: CN stemmer ikke overens med enhedsnavnet. | 7.1 | Avamar | Emnets almindelige navn, der findes i X.509-certifikatet, stemmer ikke overens med scanningsmålet: Emnet CN Administrator stemmer ikke overens med det DNS-navn (Domain Name System), der er angivet på webstedet. | 9443 | TCP | Ret emnets KN-felt (Common Name) i certifikatet. |
Cause
Det selvsignerede Avamar Server-standardSSL-certifikat på port 9443 har det almindelige navn (CN) indstillet til Administrator. Fra Avamar-webgrænsefladen på port 9443 viser certifikatet KN-oplysningerne som følger:
Figur 1: Avamar-servercertifikatet på port 9443 viser CN = Administrator.
De samme oplysninger kan også findes fra kommandolinjeudgangen:
Figur 1: Avamar-servercertifikatet på port 9443 viser CN = Administrator.
De samme oplysninger kan også findes fra kommandolinjeudgangen:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Her er proceduren til opdatering af certifikatet på Avamar Server på port 9443:
1. Stop tjenesterne Avamar Management Console Server (MCS) og EM Tomcat (EMT):
2. Sikkerhedskopiér og generer et nyt MCS Developer Kit-certifikat (MCSDK):
3. Sikkerhedskopier og opdater administratorcertifikatet:
For Avamar 19.4 eller tidligere versioner:
Til Avamar 19.8 eller nyere versioner:
4. Opdater Avinstaller-certifikatet:
5. Start Avamar MC Server- og EMT-tjenesterne:
Certifikatets CN skulle have været opdateret til værtsnavnet. Her er et eksempel output:
Figur 2: Certifikatets CN matches med maskinnavnet.
De samme oplysninger findes i kommandolinjeoutputtet:
Når der genereres et nyt Avamar MC Server-certifikat, skal Avamar-serveroplysningerne også opdateres i Data Protection Central (DPC):
1. Log på DPC-webbrugergrænsefladen som administrator@dpc.local.
2. Vælg Avamar-serveren fra "Systemadministration", og "Rediger" den.
3. Opdater Avamar-legitimationsoplysningerne, Avamar-brugernavnet er "MCUser", og klik derefter på "Næste".
4. Accepter certifikatændringen, og "Gem" den.
Figur 3: Acceptér et nyt Avamar-servercertifikat i DPC.
1. Stop tjenesterne Avamar Management Console Server (MCS) og EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Sikkerhedskopiér og generer et nyt MCS Developer Kit-certifikat (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Sikkerhedskopier og opdater administratorcertifikatet:
For Avamar 19.4 eller tidligere versioner:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Til Avamar 19.8 eller nyere versioner:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Opdater Avinstaller-certifikatet:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Start Avamar MC Server- og EMT-tjenesterne:
dpnctl start mcs dpnctl start emt
Certifikatets CN skulle have været opdateret til værtsnavnet. Her er et eksempel output:
Figur 2: Certifikatets CN matches med maskinnavnet.
De samme oplysninger findes i kommandolinjeoutputtet:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Når der genereres et nyt Avamar MC Server-certifikat, skal Avamar-serveroplysningerne også opdateres i Data Protection Central (DPC):
1. Log på DPC-webbrugergrænsefladen som administrator@dpc.local.
2. Vælg Avamar-serveren fra "Systemadministration", og "Rediger" den.
3. Opdater Avamar-legitimationsoplysningerne, Avamar-brugernavnet er "MCUser", og klik derefter på "Næste".
4. Accepter certifikatændringen, og "Gem" den.
Figur 3: Acceptér et nyt Avamar-servercertifikat i DPC.
Additional Information
Til Avamar Proxy-port 443 og 5480:
Følgende sårbarhed kan registreres på Avamar Proxy for alle IDPA-versioner på eller derunder 2.7.6:
Problemet er løst i Avamar Proxy version 19.10. Opgrader til IDPA version 2.7.7, og den indeholder Avamar version 19.10.
Du kan finde løsningen til IDPA 2.7.6 eller derunder i brugervejledningen til Dell Avamar til VMware 19.9. Proceduren findes i afsnittet "Importer brugerdefineret certifikat i Avamar VMware Image Backup Proxy". Der er også: Avamar: Sådan udskiftes certifikatet til Avamar VMware Image Backup Proxy ." (Kræver godkendelse på Dells supportportal)
Følgende sårbarhed kan registreres på Avamar Proxy for alle IDPA-versioner på eller derunder 2.7.6:
| Titel på sårbarhed | CVSS2-resultat | Navn på aktiv | Sikret mod sårbarhed | Port | Protokol | Anbefaling |
| X.509-certifikatemne: CN stemmer ikke overens med enhedsnavnet. | 7.1 | Avamar-proxy | Emnets almindelige navn, der findes i X.509-certifikatet, stemmer ikke overens med scanningsmålet: Emnet CN Administrator stemmer ikke overens med det DNS-navn, der er angivet på webstedet. | 5480 / 443 | TCP | Ret emnets KN-felt (Common Name) i certifikatet. |
Problemet er løst i Avamar Proxy version 19.10. Opgrader til IDPA version 2.7.7, og den indeholder Avamar version 19.10.
Du kan finde løsningen til IDPA 2.7.6 eller derunder i brugervejledningen til Dell Avamar til VMware 19.9. Proceduren findes i afsnittet "Importer brugerdefineret certifikat i Avamar VMware Image Backup Proxy". Der er også: Avamar: Sådan udskiftes certifikatet til Avamar VMware Image Backup Proxy ." (Kræver godkendelse på Dells supportportal)
Продукти, яких це стосується
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Властивості статті
Article Number: 000227729
Article Type: Solution
Востаннє змінено: 14 серп. 2024
Version: 1
Отримайте відповіді на свої запитання від інших користувачів Dell
Служба підтримки
Перевірте, чи послуги служби підтримки поширюються на ваш пристрій.