PowerProtect: DP Series 및 IDPA: Avamar Server 포트 9443에 대한 "X.509 Certificate Subject CN Does Not Match the Entity Name" 취약성
Summary: PowerProtect DP(Data Protection) Series 어플라이언스 및 IDPA(Integrated Data Protection Appliance): IDPA 버전 2.7.7 이하의 Avamar Server 포트 9443에 대해 보안 취약성 검사에서 "X.509 인증서 주체 CN이 엔터티 이름과 일치하지 않음"을 탐지했습니다. 이 문서에서는 문제를 해결하는 절차를 제공합니다. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
2.7.7 이하의 모든 IDPA 버전에 대해 Protection Software(Avamar Server)에서 다음과 같은 취약성이 탐지될 수 있습니다.
| 취약성 제목 | CVSS2 점수 | 자산 이름 | 취약성 증명 | 포트 | 프로토콜 | 권장 사항 |
| X.509 인증서 주체 CN이 엔터티 이름과 일치하지 않습니다. | 7.1 | Avamar | X.509 인증서에 있는 주체 일반 이름이 검사 대상과 일치하지 않습니다. 주체 CN 관리자가 사이트에 지정된 DNS(Domain Name System) 이름과 일치하지 않습니다. | 9443 | TCP | 인증서에서 주체의 CN(Common Name) 필드를 수정합니다. |
Cause
포트 9443의 기본 Avamar Server 자체 서명 SSL 인증서에는 Administrator(CN)가 설정되어 있습니다. 포트 9443의 Avamar 웹 인터페이스에서 인증서는 아래와 같이 CN 정보를 표시합니다.
그림 1: 포트 9443의 기본 Avamar Server 인증서에는 CN = Administrator가 표시됩니다.
명령줄 출력에서도 동일한 정보를 찾을 수 있습니다.
그림 1: 포트 9443의 기본 Avamar Server 인증서에는 CN = Administrator가 표시됩니다.
명령줄 출력에서도 동일한 정보를 찾을 수 있습니다.
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
다음은 포트 9443:
1의 Avamar Server에서 인증서를 업데이트하는 절차입니다. MCS(Avamar Management Console Server) 및 EMT(EM Tomcat) 서비스를 중지합니다.
2. 새 MCS 개발자 키트(MCSDK) 인증서를 백업하고 생성합니다.
3. 관리자 인증서를 백업 및 업데이트합니다.
Avamar 19.4 이하 버전의 경우:
Avamar 19.8 이상 버전의 경우:
4. Avinstaller 인증서를 업데이트합니다.
5. Avamar MC Server 및 EMT 서비스를 시작합니다.
인증서의 CN이 호스트 이름으로 업데이트되어야 합니다. 다음은 예제 출력입니다.
그림 2: 인증서의 CN이 컴퓨터 이름과 일치합니다.
명령줄 출력에서도 동일한 정보를 찾을 수 있습니다.
새 Avamar MC Server 인증서가 생성되면 DPC(Data Protection Central)
에서도 Avamar Server 정보를 업데이트해야 합니다. 1. DPC 웹 사용자 인터페이스에 administrator@dpc.local로 로그인합니다.
2. "System Management"에서 Avamar Server를 선택하고 "Edit"합니다.
3. Avamar 자격 증명을 업데이트하고 Avamar 사용자 이름은 "MCUser"로 설정한 다음 "Next"를 클릭합니다.
4. 인증서 변경 사항을 수락하고 "Save"합니다.
그림 3: DPC에서 새 Avamar Server 인증서를 수락합니다.
1의 Avamar Server에서 인증서를 업데이트하는 절차입니다. MCS(Avamar Management Console Server) 및 EMT(EM Tomcat) 서비스를 중지합니다.
dpnctl stop mcs dpnctl stop emt
2. 새 MCS 개발자 키트(MCSDK) 인증서를 백업하고 생성합니다.
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. 관리자 인증서를 백업 및 업데이트합니다.
Avamar 19.4 이하 버전의 경우:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Avamar 19.8 이상 버전의 경우:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Avinstaller 인증서를 업데이트합니다.
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Avamar MC Server 및 EMT 서비스를 시작합니다.
dpnctl start mcs dpnctl start emt
인증서의 CN이 호스트 이름으로 업데이트되어야 합니다. 다음은 예제 출력입니다.
그림 2: 인증서의 CN이 컴퓨터 이름과 일치합니다.
명령줄 출력에서도 동일한 정보를 찾을 수 있습니다.
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
새 Avamar MC Server 인증서가 생성되면 DPC(Data Protection Central)
에서도 Avamar Server 정보를 업데이트해야 합니다. 1. DPC 웹 사용자 인터페이스에 administrator@dpc.local로 로그인합니다.
2. "System Management"에서 Avamar Server를 선택하고 "Edit"합니다.
3. Avamar 자격 증명을 업데이트하고 Avamar 사용자 이름은 "MCUser"로 설정한 다음 "Next"를 클릭합니다.
4. 인증서 변경 사항을 수락하고 "Save"합니다.
그림 3: DPC에서 새 Avamar Server 인증서를 수락합니다.
Additional Information
Avamar 프록시 포트 443 및 5480의 경우:
2.7.6 이하의 모든 IDPA 버전에 대해 Avamar Proxy에서 다음과 같은 취약성이 탐지될 수 있습니다.
이 문제는 Avamar 프록시 버전 19.10에서 해결되었습니다. IDPA 버전 2.7.7로 업그레이드하면 Avamar 버전 19.10이 포함됩니다.
IDPA 2.7.6 이하에 대한 해결 방법은 Dell Avamar for VMware 19.9 사용자 가이드에서 찾을 수 있습니다. 이 절차는 "Import custom certificate in Avamar VMware Image Backup Proxy" 섹션에 있습니다. 또한 다음이 있습니다. Avamar: How to replace the certificate for Avamar VMware Image Backup Proxy" 를 참조하십시오. (Dell 지원 포털에서 인증 필요)
2.7.6 이하의 모든 IDPA 버전에 대해 Avamar Proxy에서 다음과 같은 취약성이 탐지될 수 있습니다.
| 취약성 제목 | CVSS2 점수 | 자산 이름 | 취약성 증명 | 포트 | 프로토콜 | 권장 사항 |
| X.509 인증서 주체 CN이 엔터티 이름과 일치하지 않습니다. | 7.1 | Avamar 프록시 | X.509 인증서에 있는 주체 일반 이름이 검사 대상과 일치하지 않습니다. 주체 CN 관리자가 사이트에 지정된 DNS 이름과 일치하지 않습니다. | 5480 / 443 | TCP | 인증서에서 주체의 CN(Common Name) 필드를 수정합니다. |
이 문제는 Avamar 프록시 버전 19.10에서 해결되었습니다. IDPA 버전 2.7.7로 업그레이드하면 Avamar 버전 19.10이 포함됩니다.
IDPA 2.7.6 이하에 대한 해결 방법은 Dell Avamar for VMware 19.9 사용자 가이드에서 찾을 수 있습니다. 이 절차는 "Import custom certificate in Avamar VMware Image Backup Proxy" 섹션에 있습니다. 또한 다음이 있습니다. Avamar: How to replace the certificate for Avamar VMware Image Backup Proxy" 를 참조하십시오. (Dell 지원 포털에서 인증 필요)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.