PowerProtect: Řada DP a IDPA: Chyba zabezpečení "X.509 Certificate subject CN doesn not match the entity name" pro port serveru Avamar 9443
Summary: Zařízení řady PowerProtect Data Protection (DP) a zařízení IDPA (Integrated Data Protection Appliance): Při kontrole bylo zjištěno "X.509 Certificate subject CN does not match the entity name" pro port 9443 serveru Avamar pro zařízení IDPA verze 2.7.7 nebo nižší. Tento článek obsahuje postup řešení problému. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
V softwaru pro ochranu (Avamar Server) pro všechny verze IDPA 2.7.7 nebo nižší byly zjištěny následující chyby zabezpečení:
| Název chyby zabezpečení | Skóre CVSS2 | Název prostředku | Důkaz o zranitelných místech | Port | Protokol | Doporučení |
| X.509 CN předmětu certifikátu neodpovídá názvu entity. | 7.1 | Avamar | Běžný název subjektu nalezený v certifikátu X.509 neodpovídá cíli kontroly: Subjekt CN Administrator se neshoduje s názvem DNS (Domain Name System) zadaným na webu. | 9443 | TCP | Opravte pole běžného názvu subjektu (CN) v certifikátu. |
Cause
Výchozí certifikát SSL systému Avamar Server podepsaný držitelem na portu 9443 má běžný název (CN) nastavený na Administrator. Ve webovém rozhraní softwaru Avamar na portu 9443 se na certifikátu zobrazí informace o CN, jak je uvedeno níže:
Obrázek 1: Výchozí certifikát serveru Avamar na portu 9443 zobrazuje číslo CN = Administrator.
Stejné informace naleznete také ve výstupu příkazového řádku:
Obrázek 1: Výchozí certifikát serveru Avamar na portu 9443 zobrazuje číslo CN = Administrator.
Stejné informace naleznete také ve výstupu příkazového řádku:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Zde je postup aktualizace certifikátu v serveru Avamar na portu 9443:
1. Zastavte služby MCS (Avamar Management Console Server) a EM Tomcat (EMT):
2. Zálohování a vygenerování nového certifikátu MCS Developer Kit (MCSDK):
3. Zálohujte a aktualizujte certifikát správce:
Pro Avamar 19.4 nebo starší verze:
Pro software Avamar 19.8 nebo novější:
4. Aktualizace certifikátu programu Avinstaller:
5. Spusťte server Avamar MC a služby EMT:
CN certifikátu by měl být aktualizován na název hostitele. Tady je příklad výstupu:
Obrázek 2: CN certifikátu se shoduje s názvem počítače.
Stejné informace naleznete ve výstupu příkazového řádku:
Po vygenerování nového certifikátu Avamar MC Server je nutné aktualizovat informace o serveru Avamar také v Data Protection Central (DPC):
1. Přihlaste se k webovému uživatelskému rozhraní DPC jako administrator@dpc.local.
2. V části "System Management" vyberte server Avamar a upravte jej.
3. Aktualizujte přihlašovací údaje Avamar tak, aby uživatelské jméno Avamar bylo "MCUser", a klikněte na "Next".
4. Přijměte změnu certifikátu a uložte ji.
Obrázek 3: Přijměte nový certifikát serveru Avamar v DPC.
1. Zastavte služby MCS (Avamar Management Console Server) a EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Zálohování a vygenerování nového certifikátu MCS Developer Kit (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Zálohujte a aktualizujte certifikát správce:
Pro Avamar 19.4 nebo starší verze:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Pro software Avamar 19.8 nebo novější:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Aktualizace certifikátu programu Avinstaller:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Spusťte server Avamar MC a služby EMT:
dpnctl start mcs dpnctl start emt
CN certifikátu by měl být aktualizován na název hostitele. Tady je příklad výstupu:
Obrázek 2: CN certifikátu se shoduje s názvem počítače.
Stejné informace naleznete ve výstupu příkazového řádku:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Po vygenerování nového certifikátu Avamar MC Server je nutné aktualizovat informace o serveru Avamar také v Data Protection Central (DPC):
1. Přihlaste se k webovému uživatelskému rozhraní DPC jako administrator@dpc.local.
2. V části "System Management" vyberte server Avamar a upravte jej.
3. Aktualizujte přihlašovací údaje Avamar tak, aby uživatelské jméno Avamar bylo "MCUser", a klikněte na "Next".
4. Přijměte změnu certifikátu a uložte ji.
Obrázek 3: Přijměte nový certifikát serveru Avamar v DPC.
Additional Information
Pro porty serveru Avamar proxy 443 a 5480:
Na serveru Avamar Proxy pro všechny verze IDPA 2.7.6 nebo nižší lze zjistit následující chybu zabezpečení:
Problém byl vyřešen v serveru Avamar Proxy verze 19.10. Proveďte upgrade na verzi IDPA 2.7.7, která zahrnuje Avamar verze 19.10.
Zástupné řešení pro IDPA 2.7.6 nebo nižší naleznete v uživatelské příručce k softwaru Dell Avamar pro VMware 19.9. Postup je popsán v části Import vlastního certifikátu do Avamar VMware Image Backup Proxy. K dispozici je také: Avamar: Jak nahradit certifikát pro Avamar VMware Image Backup Proxy ." (Vyžaduje ověření na portálu podpory společnosti Dell)
Na serveru Avamar Proxy pro všechny verze IDPA 2.7.6 nebo nižší lze zjistit následující chybu zabezpečení:
| Název chyby zabezpečení | Skóre CVSS2 | Název prostředku | Důkaz o zranitelných místech | Port | Protokol | Doporučení |
| X.509 CN předmětu certifikátu neodpovídá názvu entity. | 7.1 | Avamar Proxy | Běžný název subjektu nalezený v certifikátu X.509 neodpovídá cíli kontroly: Předmět CN Administrator neodpovídá názvu DNS zadanému na webu. | 5480 / 443 | TCP | Opravte pole běžného názvu subjektu (CN) v certifikátu. |
Problém byl vyřešen v serveru Avamar Proxy verze 19.10. Proveďte upgrade na verzi IDPA 2.7.7, která zahrnuje Avamar verze 19.10.
Zástupné řešení pro IDPA 2.7.6 nebo nižší naleznete v uživatelské příručce k softwaru Dell Avamar pro VMware 19.9. Postup je popsán v části Import vlastního certifikátu do Avamar VMware Image Backup Proxy. K dispozici je také: Avamar: Jak nahradit certifikát pro Avamar VMware Image Backup Proxy ." (Vyžaduje ověření na portálu podpory společnosti Dell)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.