PowerProtect. Серия DP и IDPA: Уязвимость «X.509 Certificate Subject CN не соответствует имени сущности» для порта Avamar Server 9443
Summary: Устройства серии PowerProtect Data Protection (DP) и Integrated Data Protection Appliance (IDPA) Сканирование на наличие уязвимостей безопасности обнаружило сообщение «X.509 Certificate Subject CN не соответствует имени объекта» для порта Avamar Server 9443 для IDPA версии 2.7.7 или более ранней. В этой статье приведена процедура решения этой проблемы. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Следующие уязвимости могут быть обнаружены в защитном программном обеспечении (Avamar Server) для всех версий IDPA до 2.7.7 или ниже:
| Заголовок уязвимости | Рейтинг CVSS2 | Имя ресурса | Защита от уязвимостей | Порт | Протокол | Рекомендации |
| Общее имя субъекта сертификата X.509 не соответствует имени объекта. | 7.1 | Avamar | Общее имя субъекта, найденное в сертификате X.509, не соответствует цели сканирования: Субъект CN Administrator не соответствует имени системы доменных имен (DNS), указанному на сайте. | 9443 | TCP | Исправьте поле «Общее имя» (CN) субъекта в сертификате. |
Cause
Самозаверяющий сертификат SSL Avamar Server по умолчанию на порте 9443 имеет общее имя (CN) Administrator. В веб-интерфейсе Avamar на порте 9443 в сертификате отображается информация CN следующим образом:
Рис. 1. Сертификат Avamar Server по умолчанию на порте 9443 показывает CN = Administrator.
Кроме того, эту же информацию можно найти в выводе командной строки:
Рис. 1. Сертификат Avamar Server по умолчанию на порте 9443 показывает CN = Administrator.
Кроме того, эту же информацию можно найти в выводе командной строки:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Ниже приведена процедура обновления сертификата на Avamar Server через порт 9443:
1. Остановите работу сервера Avamar Management Console Server (MCS) и служб EM Tomcat (EMT).
2. Создайте резервную копию и создайте новый сертификат MCS Developer Kit (MCSDK):
3. Создайте резервную копию и обновите сертификат администратора.
Для Avamar 19.4 или более ранних версий:
Для Avamar 19.8 или более поздних версий:
4. Обновите сертификат Avinstaller:
5. Запустите сервер Avamar MC и службы EMT.
Электронное имя сертификата должно быть изменено на имя хоста. Вот пример выходных данных:
Рис. Общее имя сертификата сопоставляется с именем компьютера.
Эту же информацию можно найти в выходных данных командной строки:
После создания нового сертификата Avamar MC Server необходимо также обновить информацию о Avamar Server в Data Protection Central (DPC):
1. Войдите в пользовательский веб-интерфейс DPC как administrator@dpc.local.
2. Выберите Avamar Server в разделе «System Management» и нажмите «Edit».
3. Обновите учетные данные Avamar, имя пользователя Avamar — «MCUser», и нажмите «Next».
4. Примите изменение сертификата и нажмите «Сохранить» его.
Рис. 3. Принятие нового сертификата сервера Avamar в DPC.
1. Остановите работу сервера Avamar Management Console Server (MCS) и служб EM Tomcat (EMT).
dpnctl stop mcs dpnctl stop emt
2. Создайте резервную копию и создайте новый сертификат MCS Developer Kit (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Создайте резервную копию и обновите сертификат администратора.
Для Avamar 19.4 или более ранних версий:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Для Avamar 19.8 или более поздних версий:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Обновите сертификат Avinstaller:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Запустите сервер Avamar MC и службы EMT.
dpnctl start mcs dpnctl start emt
Электронное имя сертификата должно быть изменено на имя хоста. Вот пример выходных данных:
Рис. Общее имя сертификата сопоставляется с именем компьютера.
Эту же информацию можно найти в выходных данных командной строки:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
После создания нового сертификата Avamar MC Server необходимо также обновить информацию о Avamar Server в Data Protection Central (DPC):
1. Войдите в пользовательский веб-интерфейс DPC как administrator@dpc.local.
2. Выберите Avamar Server в разделе «System Management» и нажмите «Edit».
3. Обновите учетные данные Avamar, имя пользователя Avamar — «MCUser», и нажмите «Next».
4. Примите изменение сертификата и нажмите «Сохранить» его.
Рис. 3. Принятие нового сертификата сервера Avamar в DPC.
Additional Information
Для портов 443 и 5480 прокси-сервера Avamar:
Следующая уязвимость может быть обнаружена на прокси-сервере Avamar для всех версий IDPA до 2.7.6 или ниже:
Проблема устранена в прокси-сервере Avamar версии 19.10. Выполните модернизацию до IDPA версии 2.7.7 и Avamar версии 19.10.
Временное решение для IDPA 2.7.6 или более ранних версий можно найти в руководстве пользователя Dell Avamar для VMware 19.9. Процедура находится в разделе «Импорт настраиваемого сертификата в Avamar VMware Image Backup Proxy ». Также есть: Avamar. «Замена сертификата для Avamar VMware Image Backup Proxy ». (Требуется аутентификация на портале поддержки Dell)
Следующая уязвимость может быть обнаружена на прокси-сервере Avamar для всех версий IDPA до 2.7.6 или ниже:
| Заголовок уязвимости | Рейтинг CVSS2 | Имя ресурса | Защита от уязвимостей | Порт | Протокол | Рекомендации |
| Общее имя субъекта сертификата X.509 не соответствует имени объекта. | 7.1 | Прокси-сервер Avamar | Общее имя субъекта, найденное в сертификате X.509, не соответствует цели сканирования: Субъект CN Administrator не соответствует DNS-имени, указанному на сайте. | 5480 / 443 | TCP | Исправьте поле «Общее имя» (CN) субъекта в сертификате. |
Проблема устранена в прокси-сервере Avamar версии 19.10. Выполните модернизацию до IDPA версии 2.7.7 и Avamar версии 19.10.
Временное решение для IDPA 2.7.6 или более ранних версий можно найти в руководстве пользователя Dell Avamar для VMware 19.9. Процедура находится в разделе «Импорт настраиваемого сертификата в Avamar VMware Image Backup Proxy ». Также есть: Avamar. «Замена сертификата для Avamar VMware Image Backup Proxy ». (Требуется аутентификация на портале поддержки Dell)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.