Säkerhetsskanning visar: Certifikatförtroendearkiv (Java) använder standardinformation eller svag lösenordsinformation
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Säkerhetsskanningen som tillhandahålls av Bladelogic rapporterade följande för Data Protection Advisor-programservern:
Certifikatförtroendearkiv (Java) använder standardlösenord eller information om svagt lösenord: Katalogbehörigheter: -rwxrwxr-x Katalogägare: apollosuperuser Katalogägargrupp: dpaservices
Teknisk detalj: /app/emc/dpa/services/_jre/lib/security/cacerts
Cause
Lösenordet för cacerts-förtroendearkivet var inte tillräckligt starkt eftersom det använde standardlösenordet.
Resolution
För att få ett starkare lösenord ändrades både cacerts truststore och dess aliaslösenord med hjälp av följande steg.
På programservern:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"
2. Ändra lösenordet för cacerts trust store med följande kommando.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Observera att det gamla lösenordet är "changeit". Ange ett nytt lösenord när du uppmanas till det.
3. Lägg till den nya raden nedan, med det nya lösenordet, i slutet av filen C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<nytt lösenord>
4. Ändra det nya cacerts-aliaslösenordet med kommandot nedan.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD
För ytterligare säkerhet ändrades även behörigheterna för cacerts-filen till 444.
Efter dessa ändringar upptäckte Security Scan-programvaran inte längre säkerhetsvarningen.
På programservern:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"
2. Ändra lösenordet för cacerts trust store med följande kommando.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Observera att det gamla lösenordet är "changeit". Ange ett nytt lösenord när du uppmanas till det.
3. Lägg till den nya raden nedan, med det nya lösenordet, i slutet av filen C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<nytt lösenord>
4. Ändra det nya cacerts-aliaslösenordet med kommandot nedan.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD
Där LÖSENORD är det nya lösenordet som skapades i steg 2.
5. Starta om DPA-programmet.
För ytterligare säkerhet ändrades även behörigheterna för cacerts-filen till 444.
Efter dessa ändringar upptäckte Security Scan-programvaran inte längre säkerhetsvarningen.
Additional Information
Cacerts är inte den nyckelbehållare (apollo.keystore) som DPA vanligtvis använder och som finns i /opt/emc/dpa/services/standalone/configuration. I stället är cacerts ett separat förtroendearkiv (nyckelbehållare) som innehåller en samling certifikat för betrodda certifikatutfärdare (CA). Oracle inkluderar cacerts-filen med SSL-stöd i JSSE-verktygssatsen (Java™ Secure Socket Extension) och JDK.
För aktuellt självsignerat certifikat förlitar sig DPA inte på förtroendearkiv. Det kan dock finnas andra tredje parter där vi kan förlita oss på detta betrodda arkiv vid åtkomst till fjärrslutpunkter (dvs. ESRS, säkerhetskopieringsprogram eller databaser). Om certifikatet för fjärrprogrammet är signerat av certifikatutfärdaren verifieras det med det här betrodda arkivet.
För aktuellt självsignerat certifikat förlitar sig DPA inte på förtroendearkiv. Det kan dock finnas andra tredje parter där vi kan förlita oss på detta betrodda arkiv vid åtkomst till fjärrslutpunkter (dvs. ESRS, säkerhetskopieringsprogram eller databaser). Om certifikatet för fjärrprogrammet är signerat av certifikatutfärdaren verifieras det med det här betrodda arkivet.
Products
Data Protection AdvisorArticle Properties
Article Number: 000168756
Article Type: Solution
Last Modified: 25 Apr 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.