VNX: SHA1 해시 알고리즘을 CVE-2004-2761용 Control Station의 SHA256 해시 알고리즘 인증서에 의한 보다 강력한 인증으로 변경하는 방법

Summary: SHA1 해시 알고리즘을 CVE-2004-2761용 Control Station의 SHA256 해시 알고리즘 인증서에 의한 보다 강력한 인증으로 변경하는 방법

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

인증을 위해 인증서를 더 강력한 해시 알고리즘으로 변경해야 함, SHA256 해시 알고리즘


Nessus 스캐너가 CVE-2004-2761
NessusOutput을 감지함: Port: 5989/tcp
다음 인증서는 원격 호스트에서 보낸 인증서 체인의 일부이지만 취약한 것으로 간주되는 해시를 포함합니다.

|-제목: O=VNX Control Station Administrator/CN=10.20.30.40/CN=VNX5300/CN=VNX5300.mydomain.net
|-서명 알고리즘: RSA 암호화
를 사용한 SHA-1|-유효 날짜: 2014 년 7 월 28 일 17:52:32 GMT
|-유효 기간 : 2019 년 8 월 3 일 17:52:33 GMT

인증을 위해 인증서를 더 강력한 해시 알고리즘 인 SHA256 해시 알고리즘으로 변경해야합니다. 

Cause

해당 사항 없음

Resolution

To see the current settings:
[root@ CA]# openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption

To view the options:
[root@CA]# openssl dgst -?
unknown option '-?'
options are
-c              to output the digest with separating colons
-d              to output debug info
-hex            output as hex dump
-binary         output in binary form
-sign   file    sign digest using private key in file
-verify file    verify a signature using public key in file
-prverify file  verify a signature using private key in file
-keyform arg    key file format (PEM or ENGINE)
-signature file signature to verify
-binary         output in binary form
-engine e       use engine e, possibly a hardware device.
-md5            to use the md5 message digest algorithm (default)
-md4            to use the md4 message digest algorithm
-md2            to use the md2 message digest algorithm
-sha1           to use the sha1 message digest algorithm
-sha            to use the sha message digest algorithm
-sha224         to use the sha224 message digest algorithm
-sha256         to use the sha256 message digest algorithm
-sha384         to use the sha384 message digest algorithm
-sha512         to use the sha512 message digest algorithm
-ripemd160      to use the ripemd160 message digest algorithm
[root@CA]#

To change the setting, vi /nas/site/CA/ca.cnf  and change defaulf_md = sha1 to sha256.
>>>>>>As a precaution, you can save a copy first to /home/nasadmin:<<<<<<<<

[root@CA]#  cp -p /nas/site/CA/ca.cnf  /home/nasadmin/
[root@CA]#  vi /nas/site/CA/ca.cnf

Example before the change:
[ CA_default ]
dir = /nas/site/CA
database = $dir/index.txt
new_certs_dir = /tmp
certificate = $dir/ca_certificate.pem
serial = $dir/serial
private_key = $dir/key.pem
default_days = 1825
default_md = sha1 <<<<<<<<<<<<<< This is the parameter to change to sha256

Example with the change:
[ CA_default ]
dir = /nas/site/CA
database = $dir/index.txt
new_certs_dir = /tmp
certificate = $dir/ca_certificate.pem
serial = $dir/serial
private_key = $dir/key.pem
default_days = 1825
default_md = sha256  <<<<<<<<<<<<< After the change - the parameter should be this

After that, as root, please run the following command to generate new key/cert and restart the Apache/CIM all at once to apply the change:
[root@CA]#  /nas/http/nas_ezadm/bin/gen_ssl_cert.pl 


To verify the signature on the certificate, re-run the openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature command:
[root@ CA]#  openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

Additional Information

SHA는 Secure Hash Algorithm의 약자로 인증 기관에서 인증서 및 CRL(인증서 해지 목록)에 서명하는 데 사용하는 해시 알고리즘입니다. 
SHA256 해시 알고리즘은 암호화/인증 프로세스에 개입하지 않지만 도구(브라우저, 이메일 클라이언트, 서버 등)는 연결/인증 프로세스 중에 이러한 종류의 해시를 읽거나 해독할 수 있어야 합니다.

Affected Products

VNX1 Series
Article Properties
Article Number: 000102888
Article Type: Solution
Last Modified: 30 Jul 2021
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.