安全性掃描顯示:憑證信任存放區 (Java) 使用預設或弱密碼詳細資料

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Bladelogic 提供的安全性掃描會針對 Data Protection Advisor 應用程式伺服器回報下列情況:

憑證信任存放區 (Java) 使用預設或弱密碼詳細資訊:目錄權限:-rwxrwxr-x 目錄擁有者:apollosuperuser 目錄擁有者 群組:dpaservices

技術詳細資料:/app/emc/dpa/services/_jre/lib/security/cacerts
 

Cause

cacerts 信任存放區的密碼不夠強,因為它使用的是預設密碼。

Resolution

為了取得更強的密碼,已使用下列步驟變更 cacerts 信任存放區及其別名密碼。

在應用程式伺服器上:
1. cd “C:\Program Files\EMC\DPA\services_jre\bin”

2.使用下列命令變更 cacerts 信任存放區密碼。
keytool.exe -storepasswd -keystore “C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts”
請注意,舊密碼為「changeit」。  出現提示時輸入新密碼。

3.在檔案 C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4 的結尾新增新行。使用以下命令變更新的 cacerts 別名密碼。
keytool.exe -keypasswd -keystore “C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts” -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

其中密碼是在步驟 2 中建立的新密碼。

5.重新啟動 DPA 應用程式。


為了提高安全性,cacerts 檔案權限也變更為 444。

進行這些變更後,安全性掃描軟體已偵測不到安全性警示。

Additional Information

cacerts 並非 DPA 通常使用的金鑰存放區 (apollo.keystore),其位於 /opt/emc/dpa/services/standalone/configuration 中。  相反,cacerts 是一個單獨的信任存放區 (金鑰存放區),其中包含受信任認證機構 (CA) 憑證的集合。Oracle 將 cacerts 檔案及其 SSL 支援包含在 Java™ Secure Socket Extension (JSSE) 工具套件和 JDK 中。

對於目前的自我簽署憑證,DPA 不依賴信任存放區。但是,在存取遠端端點 (即 ESRS、備份應用程式或資料庫) 時,可能有其他第三方可以仰賴此信任存放區。如果遠端應用程式的憑證由 CA 簽署,則會使用此信任存放區進行驗證。

Products

Data Protection Advisor
Article Properties
Article Number: 000168756
Article Type: Solution
Last Modified: 25 Apr 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.