セキュリティ スキャンには次の情報が表示されます。証明書トラスト ストア(Java)でデフォルトまたは脆弱なパスワードの詳細が使用される

Bladelogicによって提供されるセキュリティ スキャンでは、Data Protection Advisorアプリケーション サーバーについて次の情報が報告されました。

証明書トラスト ストア(Java)は、デフォルトまたは脆弱なパスワードの詳細を使用します。ディレクトリー権限: -rwxrwxr-x ディレクトリー所有者: apollosuperuser ディレクトリー所有者グループ: dpaservices

技術的な詳細: /app/emc/dpa/services/_jre/lib/security/cacerts
 

cacertsトラスト ストアのパスワードは、デフォルトのパスワードを使用していたため、十分に強力ではありませんでした。

より強力なパスワードを取得するために、cacertsトラストストアとそのエイリアス パスワードの両方を次の手順で変更しました

アプリケーション サーバーで、
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2を実行します。次のコマンドを使用して、cacertsトラスト ストアのパスワードを変更します。
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
古いパスワードは「changeit」であることに注意してください。  プロンプトが表示されたら、新しいパスワードを入力します。

3.C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4ファイルの末尾に、新しいパスワードを含む新しい行を追加します。次のコマンドを使用して、新しいcacertsエイリアス パスワードを変更します。
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

ここで、PASSWORDは手順2.

で作成した新しいパスワードです5.DPAアプリケーションを再起動します。

セキュリティを強化するために、cacertsファイルの権限も444に変更されました。

これらの変更の後、セキュリティ スキャン ソフトウェアはセキュリティ アラートを検出しなくなりました。

cacertsは、DPAが通常使用するキーストア(apollo.keystore)ではなく、/opt/emc/dpa/services/standalone/configurationにあります。  代わりに、cacertsは、信頼できる認証局(CA)証明書のコレクションを含む別個のトラスト ストア(キーストア)です。Oracleには、Java™ Secure Socket Extension (JSSE)ツール・キットおよびJDKにSSLサポートを備えたcacertsファイルが含まれています。

現在の自己署名証明書の場合、DPAはトラスト ストアに依存しません。ただし、リモート エンドポイント(ESRS、バックアップ アプリケーション、データベースなど)にアクセスする際に、このトラスト ストアに依存できるサード パーティーが他にも存在する可能性があります。リモート アプリケーションの証明書がCAによって署名されている場合は、このトラスト ストアで検証されます。