安全扫描显示:证书信任存储区 (Java) 使用默认或弱密码详细信息

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Bladelogic 提供的安全扫描为 Data Protection Advisor 应用程序服务器报告了以下信息:

证书信任存储区 (Java) 使用默认或弱密码详细信息:目录权限:-rwxrwxr-x Directory Owner: apollosuperuser Directory Owner Group: dpaservices

技术细节:/app/emc/dpa/services/_jre/lib/security/cacerts
 

Cause

cacerts 信任存储库的密码不够强,因为它使用的是默认密码。

Resolution

为了获取更强的密码,使用以下步骤更改了 cacerts truststore 及其别名密码。

在应用程序服务器上:
1. cd “C:\Program Files\EMC\DPA\services_jre\bin”

2.使用以下命令更改 cacerts 信任库密码。
keytool.exe -storepasswd -keystore “C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts”
请注意,旧密码是“changeit”。  出现提示时输入新密码。

3.在文件 C:\Program Files\EMC\DPA\services_jre\lib\security\java.security:
javax.net.ssl.trustStorePassword=<new password>

4 的末尾添加新行。使用以下命令更改新的 cacerts 别名密码。
keytool.exe -keypasswd -keystore “C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts” -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

其中 PASSWORD是在步骤 2 中创建的新密码。

5.重新启动 DPA 应用程序。


为了提高安全性,cacerts 文件权限也更改为 444。

进行这些更改后,安全扫描软件不再检测到安全警报。

Additional Information

cacerts 不是 DPA 通常使用的密钥库 (apollo.keystore),它位于 /opt/emc/dpa/services/standalone/configuration 中。  相反,cacerts 是一个单独的信任存储区(密钥库),其中包含一组受信任的证书颁发机构 (CA) 证书。Oracle 在 Java™ 安全套接字扩展 (JSSE) 工具包和 JDK 中包含了 cacerts 文件及其 SSL 支持。

对于当前自签名证书,DPA 不依赖于信任存储。但是,在访问远程端点(即 ESRS、备份应用程序或数据库)时,我们可能依赖其他第三方的此信任存储库。如果远程应用程序的证书由 CA 签名,将使用此信任存储对其进行验证。

Products

Data Protection Advisor
Article Properties
Article Number: 000168756
Article Type: Solution
Last Modified: 25 Apr 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.