Der Sicherheitsscan zeigt: Certificate Trust Store (Java) verwendet standardmäßige oder schwache Kennwortdetails

Der von Bladelogic bereitgestellte Sicherheitsscan ergab Folgendes für den Data Protection Advisor-Anwendungsserver:

Certificate Trust Store (Java) verwendet standardmäßige oder schwache Kennwortdetails: Verzeichnisberechtigungen: -rwxrwxr-x Verzeichnisbesitzer: apollosuperuser Verzeichniseigentümergruppe: dpaservices

Technische Details: /app/emc/dpa/services/_jre/lib/security/cacerts
 

Das Kennwort für den Cacerts-Vertrauensspeicher war nicht stark genug, da das Standardkennwort verwendet wurde.

Um ein stärkeres Kennwort zu erhalten, wurden sowohl der cacerts-Truststore als auch sein Aliaskennwort mithilfe der folgenden Schritte geändert.

Auf dem Anwendungsserver:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. Ändern Sie das Cacerts-Truststore-Kennwort mit dem folgenden Befehl.
keytool.exe -storepasswd -keystore "C:\Programme\EMC\DPA\services_jre\lib\security\cacerts"
Beachten Sie, dass das alte Kennwort "changeit" lautet.  Geben Sie ein neues Kennwort ein, wenn Sie dazu aufgefordert werden.

3. Fügen Sie die neue Zeile unten mit dem neuen Kennwort am Ende der Datei C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

hinzu 4. Ändern Sie das neue Cacerts-Aliaskennwort mit dem folgenden Befehl.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

Dabei ist PASSWORD das neue Kennwort, das in Schritt 2 erstellt wurde.

5. Starten Sie die DPA-Anwendung neu.

Für zusätzliche Sicherheit wurden auch die cacerts-Dateiberechtigungen in 444 geändert. 

Nach diesen Änderungen erkannte die Sicherheitsscan-Software die Sicherheitswarnmeldung nicht mehr.

Cacerts ist nicht der Keystore (apollo.keystore), den DPA normalerweise verwendet und der sich in /opt/emc/dpa/services/standalone/configuration befindet.  Stattdessen handelt es sich bei Cacerts um einen separaten Truststore (Keystore), der eine Sammlung vertrauenswürdiger Zertifikate der Zertifizierungsstelle (CA) enthält. Oracle nimmt die Cacerts-Datei mit SSL-Unterstützung in das Java™ Secure Socket Extension (JSSE)-Toolkit und JDK auf. 

Beim aktuellen selbstsignierten Zertifikat verlässt sich DPA nicht auf den Vertrauensspeicher. Es kann jedoch andere Drittanbieter geben, bei denen wir uns beim Zugriff auf Remoteendpunkte auf diesen Truststore verlassen können (z. B. ESRS, Backupanwendungen oder Datenbanken). Wenn das Zertifikat der Remoteanwendung von einer Zertifizierungsstelle signiert ist, wird es mit diesem Vertrauensspeicher überprüft.