PowerProtect: DP-serie en IDPA: Beveiligingslek met betrekking tot X.509 certificaatonderwerp CN komt niet overeen met de entiteitsnaam voor Avamar Server-poort 9443
Summary: Apparaten uit de PowerProtect Data Protection (DP)-serie en Integrated Data Protection Appliance (IDPA): Bij het scannen van beveiligingslekken is gedetecteerd: "X.509 Certificate Subject CN Does Not Match the Entity Name" voor Avamar Server-poort 9443 voor IDPA versie 2.7.7 of lager. Dit artikel bevat een procedure voor het oplossen van het probleem. ...
Ця стаття стосується
Ця стаття не стосується
Ця стаття не стосується якогось конкретного продукту.
У цій статті зазначено не всі версії продукту.
Symptoms
De volgende kwetsbaarheden kunnen worden gedetecteerd op de beschermingssoftware (Avamar Server) voor alle IDPA-versies op of lager dan 2.7.7:
| Titel beveiligingslek | CVSS2-score | Naam van asset | Bestand tegen kwetsbaarheden | Poort | Protocol | Aanbeveling: |
| X.509 Certificaatonderwerp GN komt niet overeen met de naam van de entiteit. | 7.1 | Avamar | De algemene naam van het onderwerp in het X.509-certificaat komt niet overeen met het scandoel: De CN-beheerder komt niet overeen met de DNS-naam (Domain Name System) die op de site wordt opgegeven. | 9443 | TCP | Corrigeer het veld Algemene naam (CN) van het onderwerp in het certificaat. |
Cause
Op het standaard zelfondertekende SSL-certificaat van de Avamar Server op poort 9443 is de algemene naam (CN) ingesteld op Administrator. In de Avamar-webinterface op poort 9443 geeft het certificaat de onderstaande CN-informatie weer:
Afbeelding 1: Het standaard Avamar Server-certificaat op poort 9443 bevat de CN = Administrator.
Dezelfde informatie is ook te vinden in de opdrachtregeluitvoer:
Afbeelding 1: Het standaard Avamar Server-certificaat op poort 9443 bevat de CN = Administrator.
Dezelfde informatie is ook te vinden in de opdrachtregeluitvoer:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Hier volgt de procedure voor het bijwerken van het certificaat op Avamar Server op poort 9443:
1. Stop de Avamar Management Console Server (MCS) en EM Tomcat (EMT) services:
2. Back-up maken en een nieuw MCS Developer Kit (MCSDK)-certificaat genereren:
3. Back-up maken van het beheerderscertificaat en dit bijwerken:
voor Avamar 19.4 of eerdere versies:
Voor Avamar 19.8 of latere versies:
4. Werk het Avinstaller-certificaat bij:
5. Start de Avamar MC Server- en EMT-services:
De GN van het certificaat moet zijn bijgewerkt naar de hostnaam. Hier is een voorbeeld van uitvoer:
Figuur 2: De CN van het certificaat komt overeen met de naam van de machine.
Dezelfde informatie is te vinden in de opdrachtregeluitvoer:
Nadat een nieuw Avamar MC Server-certificaat is gegenereerd, moet de Avamar Server-informatie ook worden bijgewerkt in de Data Protection Central (DPC):
1. Meld u aan bij de webgebruikersinterface van DPC als administrator@dpc.local.
2. Selecteer de Avamar Server in "System Management" en "Edit".
3. Werk de Avamar-referentie bij, de Avamar-gebruikersnaam is "MCUser" en klik vervolgens op "Next".
4. Accepteer de certificaatwijziging en sla deze op.
Afbeelding 3: Accepteer een nieuw Avamar-servercertificaat in DPC.
1. Stop de Avamar Management Console Server (MCS) en EM Tomcat (EMT) services:
dpnctl stop mcs dpnctl stop emt
2. Back-up maken en een nieuw MCS Developer Kit (MCSDK)-certificaat genereren:
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Back-up maken van het beheerderscertificaat en dit bijwerken:
voor Avamar 19.4 of eerdere versies:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Voor Avamar 19.8 of latere versies:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Werk het Avinstaller-certificaat bij:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Start de Avamar MC Server- en EMT-services:
dpnctl start mcs dpnctl start emt
De GN van het certificaat moet zijn bijgewerkt naar de hostnaam. Hier is een voorbeeld van uitvoer:
Figuur 2: De CN van het certificaat komt overeen met de naam van de machine.
Dezelfde informatie is te vinden in de opdrachtregeluitvoer:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Nadat een nieuw Avamar MC Server-certificaat is gegenereerd, moet de Avamar Server-informatie ook worden bijgewerkt in de Data Protection Central (DPC):
1. Meld u aan bij de webgebruikersinterface van DPC als administrator@dpc.local.
2. Selecteer de Avamar Server in "System Management" en "Edit".
3. Werk de Avamar-referentie bij, de Avamar-gebruikersnaam is "MCUser" en klik vervolgens op "Next".
4. Accepteer de certificaatwijziging en sla deze op.
Afbeelding 3: Accepteer een nieuw Avamar-servercertificaat in DPC.
Additional Information
Voor Avamar proxypoorten 443 en 5480:
Het volgende beveiligingslek kan worden gedetecteerd op Avamar Proxy voor alle IDPA-versies op of lager dan 2.7.6:
Het probleem is opgelost in Avamar Proxy versie 19.10. Upgrade naar IDPA versie 2.7.7 en deze bevat de Avamar versie 19.10.
De tijdelijke oplossing voor IDPA 2.7.6 of lager vindt u in de Dell Avamar for VMware 19.9 gebruikershandleiding. De procedure vindt u in het gedeelte "Import custom certificate in Avamar VMware Image Backup Proxy". Er is ook: Avamar: Het certificaat voor Avamar VMware Image Backup Proxy vervangen ." (Vereist verificatie op Dell Support Portal)
Het volgende beveiligingslek kan worden gedetecteerd op Avamar Proxy voor alle IDPA-versies op of lager dan 2.7.6:
| Titel beveiligingslek | CVSS2-score | Naam van asset | Bestand tegen kwetsbaarheden | Poort | Protocol | Aanbeveling: |
| X.509 Certificaatonderwerp GN komt niet overeen met de naam van de entiteit. | 7.1 | Avamar Proxy | De algemene naam van het onderwerp in het X.509-certificaat komt niet overeen met het scandoel: De betreffende CN-beheerder komt niet overeen met de DNS-naam die op de site is opgegeven. | 5480 / 443 | TCP | Corrigeer het veld Algemene naam (CN) van het onderwerp in het certificaat. |
Het probleem is opgelost in Avamar Proxy versie 19.10. Upgrade naar IDPA versie 2.7.7 en deze bevat de Avamar versie 19.10.
De tijdelijke oplossing voor IDPA 2.7.6 of lager vindt u in de Dell Avamar for VMware 19.9 gebruikershandleiding. De procedure vindt u in het gedeelte "Import custom certificate in Avamar VMware Image Backup Proxy". Er is ook: Avamar: Het certificaat voor Avamar VMware Image Backup Proxy vervangen ." (Vereist verificatie op Dell Support Portal)
Продукти, яких це стосується
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Властивості статті
Article Number: 000227729
Article Type: Solution
Востаннє змінено: 14 серп. 2024
Version: 1
Отримайте відповіді на свої запитання від інших користувачів Dell
Служба підтримки
Перевірте, чи послуги служби підтримки поширюються на ваш пристрій.