VNX: CVE-2004-2761 için Control Station'da SHA1 karma algoritmalarını sertifikaya göre daha güçlü kimlik doğrulama, SHA256 karma algoritmaları olarak değiştirme
Summary: CVE-2004-2761 için Control Station'da SHA1 karma algoritmalarını sertifikaya göre daha güçlü kimlik doğrulama, SHA256 karma algoritmaları olarak değiştirme
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Kimlik doğrulama için sertifikayı daha güçlü bir karma algoritmaya değiştirmeniz gerekiyor, SHA256 karma algoritması
Nessus tarayıcı CVE-2004-2761'i
algılar NessusOutput: Bağlantı Noktası: 5989/tcp
Aşağıdaki sertifikalar, uzak ana bilgisayar tarafından gönderilen sertifika zincirinin bir parçasıdır; ancak zayıf olduğu düşünülen karmalar içerir.
|-Konu: O=VNX Control Station Administrator/CN=10.20.30.40/CN=VNX5300/CN=VNX5300.mydomain.net
|-Signature Algorithm : RSA şifrelemeli
SHA-1|-Valid from: Jul 28 17:52:32 2014 GMT
|-Valid To : Aug 03 17:52:33 2019 GMT
Kimlik doğrulama için sertifikayı daha güçlü bir karma algoritmaya, SHA256 karma algoritmasına değiştirmeniz gerekiyor
Nessus tarayıcı CVE-2004-2761'i
algılar NessusOutput: Bağlantı Noktası: 5989/tcp
Aşağıdaki sertifikalar, uzak ana bilgisayar tarafından gönderilen sertifika zincirinin bir parçasıdır; ancak zayıf olduğu düşünülen karmalar içerir.
|-Konu: O=VNX Control Station Administrator/CN=10.20.30.40/CN=VNX5300/CN=VNX5300.mydomain.net
|-Signature Algorithm : RSA şifrelemeli
SHA-1|-Valid from: Jul 28 17:52:32 2014 GMT
|-Valid To : Aug 03 17:52:33 2019 GMT
Kimlik doğrulama için sertifikayı daha güçlü bir karma algoritmaya, SHA256 karma algoritmasına değiştirmeniz gerekiyor
Cause
Geçerli değil
Resolution
To see the current settings:
[root@ CA]# openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
To view the options:
[root@CA]# openssl dgst -?
unknown option '-?'
options are
-c to output the digest with separating colons
-d to output debug info
-hex output as hex dump
-binary output in binary form
-sign file sign digest using private key in file
-verify file verify a signature using public key in file
-prverify file verify a signature using private key in file
-keyform arg key file format (PEM or ENGINE)
-signature file signature to verify
-binary output in binary form
-engine e use engine e, possibly a hardware device.
-md5 to use the md5 message digest algorithm (default)
-md4 to use the md4 message digest algorithm
-md2 to use the md2 message digest algorithm
-sha1 to use the sha1 message digest algorithm
-sha to use the sha message digest algorithm
-sha224 to use the sha224 message digest algorithm
-sha256 to use the sha256 message digest algorithm
-sha384 to use the sha384 message digest algorithm
-sha512 to use the sha512 message digest algorithm
-ripemd160 to use the ripemd160 message digest algorithm
[root@CA]#
To change the setting, vi /nas/site/CA/ca.cnf and change defaulf_md = sha1 to sha256.
>>>>>>As a precaution, you can save a copy first to /home/nasadmin:<<<<<<<<
[root@CA]# cp -p /nas/site/CA/ca.cnf /home/nasadmin/
[root@CA]# vi /nas/site/CA/ca.cnf
Example before the change:
[ CA_default ]
dir = /nas/site/CA
database = $dir/index.txt
new_certs_dir = /tmp
certificate = $dir/ca_certificate.pem
serial = $dir/serial
private_key = $dir/key.pem
default_days = 1825
default_md = sha1 <<<<<<<<<<<<<< This is the parameter to change to sha256
Example with the change:
[ CA_default ]
dir = /nas/site/CA
database = $dir/index.txt
new_certs_dir = /tmp
certificate = $dir/ca_certificate.pem
serial = $dir/serial
private_key = $dir/key.pem
default_days = 1825
default_md = sha256 <<<<<<<<<<<<< After the change - the parameter should be this
After that, as root, please run the following command to generate new key/cert and restart the Apache/CIM all at once to apply the change:
[root@CA]# /nas/http/nas_ezadm/bin/gen_ssl_cert.pl
To verify the signature on the certificate, re-run the openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature command:
[root@ CA]# openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature
Signature Algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
Additional Information
SHA - güvenli karma algoritma anlamına gelir - sertifika yetkilileri tarafından sertifikaları ve CRL'yi (sertifika iptal listesi) imzalamak için kullanılan bir karma algoritmadır.
SHA256 hash algoritması şifreleme / kimlik doğrulama sürecine müdahale etmez, ancak araçlar (tarayıcılar, e-posta istemcileri, sunucular...) bağlantı / kimlik doğrulama işlemi sırasında bu tür hash'leri okuyabilmeli / deşifre edebilmelidir.
SHA256 hash algoritması şifreleme / kimlik doğrulama sürecine müdahale etmez, ancak araçlar (tarayıcılar, e-posta istemcileri, sunucular...) bağlantı / kimlik doğrulama işlemi sırasında bu tür hash'leri okuyabilmeli / deşifre edebilmelidir.
Affected Products
VNX1 SeriesArticle Properties
Article Number: 000102888
Article Type: Solution
Last Modified: 30 Jul 2021
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.