Beveiligingsscan laat het volgende zien: Certificate Trust Store (Java) gebruikt standaard- of zwakke wachtwoordgegevens

De beveiligingsscan van Bladelogic rapporteerde het volgende voor de Data Protection Advisor applicatieserver:

Certificate Trust Store (Java) gebruikt standaard- of zwakke wachtwoordgegevens: Mapmachtigingen: -rwxrwxr-x Directory Owner: apollosuperuser Directory Owner Group: dpaservices

Technische details: /app/emc/dpa/services/_jre/lib/security/cacerts
 

Het wachtwoord voor het cacerts trust store was niet sterk genoeg omdat het standaardwachtwoord werd gebruikt.

Om een sterker wachtwoord te krijgen, zijn zowel de cacerts truststore als het aliaswachtwoord gewijzigd met behulp van de volgende stappen.

Op de applicatieserver:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Wijzig het wachtwoord van de cacerts trust store met de volgende opdracht.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Let op, het oude wachtwoord is "changeit".  Voer het nieuwe wachtwoord in wanneer daarom wordt gevraagd.

3. Voeg de nieuwe regel hieronder toe, met het nieuwe wachtwoord, aan het einde van bestand C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4. Wijzig het wachtwoord van de nieuwe cacerts-alias met de onderstaande opdracht.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

Waarbij PASSWORD het nieuwe wachtwoord is dat in stap 2 is gemaakt.

5. Start de DPA-applicatie opnieuw.

Voor extra beveiliging zijn de machtigingen voor het cacerts-bestand ook gewijzigd in 444. 

Na deze wijzigingen detecteerde de Security Scan-software het beveiligingsalarm niet meer.

De cacerts is niet de keystore (apollo.keystore) die DPA doorgaans gebruikt en die zich bevindt in /opt/emc/dpa/services/standalone/configuration.  In plaats daarvan is de cacerts een afzonderlijk vertrouwensarchief (keystore) dat een verzameling certificaten van vertrouwde certificeringsinstanties (CA) bevat. Oracle neemt het cacerts-bestand met zijn SSL-ondersteuning op in de Java™ Secure Socket Extension (JSSE)-toolkit en JDK. 

Voor huidig zelfondertekende certificaten vertrouwt DPA niet op trust store. Er kunnen echter andere derde partijen zijn waarbij we op deze vertrouwensopslag kunnen vertrouwen bij het openen van externe eindpunten (bijv. ESRS, back-upapplicaties of databases). Als het certificaat van de externe applicatie is ondertekend door CA, wordt het geverifieerd met dit vertrouwensarchief.