Сканування безпеки показує: Сховище довіри сертифікатів (Java) використовує стандартні або слабкі дані пароля
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Сканування безпеки, надане Bladelogic, повідомило про наступне для сервера додатків Data Protection Advisor:
Сховище довіри сертифікатів (Java) використовує стандартні або слабкі дані пароля: Права на доступи до каталогу: -rwxrwxr-x Власник каталогу: apollosuperuser Група власників каталогу: dpaservices
Технічні деталі: /app/emc/dpa/services/_jre/lib/security/cacerts
Cause
Пароль для cacerts trust store був недостатньо сильним, бо використовувався стандартний.
Resolution
Для отримання посиленого пароля як cacerts truststore, так і його псевдонім паролі змінювалися наступними кроками.
На сервері додатків:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"
2. Змініть пароль cacerts trust store за допомогою наступної команди.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Зверніть увагу, старий пароль — «changeit». Введіть новий пароль при запиті.
3. Додайте новий рядок нижче, з новим паролем, у кінці файлу C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<новий пароль>
4. Змініть новий пароль псевдоніму cacerts за допомогою команди нижче.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD
Для додаткової безпеки дозволи на файли cacerts також були змінені на 444.
Після цих змін програмне забезпечення Security Scan більше не виявляло сповіщення про безпеку.
На сервері додатків:
1. cd "C:\Program Files\EMC\DPA\services_jre\bin"
2. Змініть пароль cacerts trust store за допомогою наступної команди.
keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"
Зверніть увагу, старий пароль — «changeit». Введіть новий пароль при запиті.
3. Додайте новий рядок нижче, з новим паролем, у кінці файлу C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<новий пароль>
4. Змініть новий пароль псевдоніму cacerts за допомогою команди нижче.
keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD
Де PASSWORD — це новий пароль, створений на кроці 2.
5. Перезапустіть заявку на DPA.
Для додаткової безпеки дозволи на файли cacerts також були змінені на 444.
Після цих змін програмне забезпечення Security Scan більше не виявляло сповіщення про безпеку.
Additional Information
Cacerts — це не сховище ключів (apollo.keystore), яке зазвичай використовує DPA і розташоване у /opt/emc/dpa/services/standalone/configuration. Натомість cacerts є окремим сховищем довіри (keystore), який містить колекцію довірених сертифікатів центру сертифікації (CA). Oracle включає файл cacerts разом із підтримкою SSL у наборі інструментів Java™ Secure Socket Extension (JSSE) та JDK.
Для поточного самопідписаного сертифіката DPA не залежить від сховища довіри. Однак можуть існувати й інші треті сторони, на яких можна покладатися на цей довірчий сховище при доступі до віддалених кінцевих точок (наприклад, ESRS, резервні додатки або бази даних). Якщо сертифікат віддаленого додатку підписаний CA, він буде перевірений цим сховищем довіри.
Для поточного самопідписаного сертифіката DPA не залежить від сховища довіри. Однак можуть існувати й інші треті сторони, на яких можна покладатися на цей довірчий сховище при доступі до віддалених кінцевих точок (наприклад, ESRS, резервні додатки або бази даних). Якщо сертифікат віддаленого додатку підписаний CA, він буде перевірений цим сховищем довіри.
Products
Data Protection AdvisorArticle Properties
Article Number: 000168756
Article Type: Solution
Last Modified: 25 Apr 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.