A verificação de segurança mostra: O armazenamento confiável do certificado (Java) usa detalhes de senha padrão ou fraca

A verificação de segurança fornecida pelo Bladelogic relatou o seguinte para o servidor do aplicativo Data Protection Advisor:

O armazenamento confiável do certificado (Java) usa detalhes de senha padrão ou fraca: Permissões de diretório: -rwxrwxr-x Proprietário do diretório: apollosuperuser Grupo do proprietário do diretório: dpaservices

Detalhe técnico: /app/emc/dpa/services/_jre/lib/security/cacerts
 

A senha do armazenamento confiável cacerts não era forte o suficiente, pois estava usando a senha padrão.

Para obter uma senha mais forte, tanto o truststore cacerts quanto sua senha alias foram alterados usando as etapas a seguir.

No servidor de aplicativos:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Altere a senha do armazenamento confiável de cacerts com o seguinte comando.
keytool.exe -storepasswd -keystore "C:\Arquivos de Programas\EMC\DPA\services_jre\lib\security\cacerts"
Nota: a senha antiga é "changeit".  Digite a nova senha quando solicitado.

3. Adicione a nova linha abaixo, com a nova senha, ao final do arquivo C:\Arquivos de Programas\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4. Altere a nova senha do alias cacerts com o comando abaixo.
keytool.exe -keypasswd -keystore "C:\Arquivos de Programas\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

Em que PASSWORD é a nova senha criada na etapa 2.

5. Reinicie o aplicativo DPA.

Para segurança adicional, as permissões do arquivo cacerts também foram alteradas para 444. 

Após essas alterações, o software de verificação de segurança não detectou mais o alerta de segurança.

O cacerts não é o keystore (apollo.keystore) que o DPA normalmente usa e que está localizado em /opt/emc/dpa/services/standalone/configuration.  Em vez disso, o cacerts é um armazenamento confiável (keystore) separado que contém uma coleção de certificados de autoridade de certificação (CA) confiáveis. O Oracle inclui o arquivo cacerts com seu suporte SSL no kit de ferramentas Java™ Secure Socket Extension (JSSE) e JDK. 

Para o certificado autoassinado atual, o DPA não depende do armazenamento confiável. No entanto, pode haver outros terceiros em que podemos contar com esse armazenamento confiável ao acessar endpoints remotos (ou seja, ESRS, aplicativos de backup ou bancos de dados). Se o certificado do aplicativo remoto for assinado pela CA, ele será verificado com esse armazenamento confiável.