Сканирование безопасности показывает: Хранилище доверенных сертификатов (Java) использует данные пароля по умолчанию или ненадежные
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Сканирование безопасности, проведенное компанией Bladelogic, показало следующее для сервера приложений Data Protection Advisor:
Хранилище доверенных сертификатов (Java) использует пароль по умолчанию или сведения о слабом пароле: Права доступа к каталогу: -rwxrwxr-x Владелец каталога: apollosuperuser Группа владельцев каталога: dpaservices
Технические характеристики: /app/emc/dpa/services/_jre/lib/security/cacerts
Cause
Пароль для хранилища доверия cacerts был недостаточно надежным, так как использовался пароль по умолчанию.
Resolution
Чтобы получить более надежный пароль, пароль хранилища доверенных сертификатов cacerts и его пароль псевдонима были изменены с помощью следующих действий.
На сервере приложений:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"
2. Измените пароль доверенного хранилища cacerts с помощью следующей команды.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Обратите внимание, что старый пароль — «changeit». Введите новый пароль при появлении соответствующего запроса.
3. Добавьте новую строку ниже с новым паролем в конце файла C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>
4. Измените новый пароль псевдонима cacerts с помощью следующей команды.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD
В целях дополнительной безопасности разрешения для файлов cacerts также были изменены на 444.
После этих изменений программа Security Scan больше не обнаруживала оповещение безопасности.
На сервере приложений:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"
2. Измените пароль доверенного хранилища cacerts с помощью следующей команды.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Обратите внимание, что старый пароль — «changeit». Введите новый пароль при появлении соответствующего запроса.
3. Добавьте новую строку ниже с новым паролем в конце файла C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>
4. Измените новый пароль псевдонима cacerts с помощью следующей команды.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD
Где PASSWORD — это новый пароль, созданный на шаге 2.
5. Перезапустите приложение DPA.
В целях дополнительной безопасности разрешения для файлов cacerts также были изменены на 444.
После этих изменений программа Security Scan больше не обнаруживала оповещение безопасности.
Additional Information
cacerts — это не хранилище ключей (apollo.keystore), которое обычно используется DPA, и которое находится в /opt/emc/dpa/services/standalone/configuration. Вместо этого cacerts — это отдельное хранилище доверия (хранилище ключей), содержащее коллекцию сертификатов доверенного источника сертификатов (CA). Oracle включает файл cacerts с поддержкой SSL в набор инструментов Java™ Secure Socket Extension (JSSE) и JDK.
Для текущего самозаверяющего сертификата DPA не полагается на хранилище доверия. Однако могут быть другие третьи стороны, где мы можем полагаться на это хранилище доверия при доступе к удаленным конечным точкам (например, к ESRS, приложениям резервного копирования или базам данных). Если сертификат удаленного приложения подписан CA, он будет проверен в этом хранилище доверия.
Для текущего самозаверяющего сертификата DPA не полагается на хранилище доверия. Однако могут быть другие третьи стороны, где мы можем полагаться на это хранилище доверия при доступе к удаленным конечным точкам (например, к ESRS, приложениям резервного копирования или базам данных). Если сертификат удаленного приложения подписан CA, он будет проверен в этом хранилище доверия.
Products
Data Protection AdvisorArticle Properties
Article Number: 000168756
Article Type: Solution
Last Modified: 25 Apr 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.