PowerProtect: DP Serie und IDPA: Sicherheitslücke "X.509 Certificate Subject CN Does not entspricht dem Entitätsnamen" für Avamar Server Port 9443
Summary: Appliances der PowerProtect Data Protection (DP) Serie und Integrated Data Protection Appliance (IDPA): Scannen von Sicherheitslücken erkannt "X.509 Certificate Subject CN does not match the Entity Name" für Avamar-Serveranschluss 9443 für IDPA-Version 2.7.7 oder niedriger. Dieser Artikel enthält ein Verfahren zur Behebung des Problems. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Die folgenden Sicherheitslücken konnten auf der Schutzsoftware (Avamar-Server) für alle IDPA-Versionen auf oder unter 2.7.7 erkannt werden:
| Titel der Sicherheitslücke | CVSS2-Bewertung | Bestandsname | Schutz vor Sicherheitslücken | Schnittstelle | Protokoll | Empfehlung |
| Betreff-CN des X.509-Zertifikats stimmt nicht mit dem Entitätsnamen überein. | 7.1 | Avamar | Der im X.509-Zertifikat gefundene Common Name des Antragstellers stimmt nicht mit dem Scanziel überein: Der Antragsteller-CN-Administrator stimmt nicht mit dem am Standort angegebenen DNS-Namen (Domain Name System) überein. | 9443 | TCP | Korrigieren Sie das Feld "Common Name" (CN) des Antragstellers im Zertifikat. |
Cause
Für das selbstsignierte Standard-SSL-Zertifikat des Avamar Servers auf Port 9443 ist der Common Name (CN) auf Administrator festgelegt. Über die Avamar-Webschnittstelle auf Port 9443 zeigt das Zertifikat die folgenden CN-Informationen an:
Abbildung 1: Das standardmäßige Avamar-Serverzertifikat auf Port 9443 zeigt den CN = Administrator an.
Die gleichen Informationen können auch über die Befehlszeilenausgabe abgerufen werden:
Abbildung 1: Das standardmäßige Avamar-Serverzertifikat auf Port 9443 zeigt den CN = Administrator an.
Die gleichen Informationen können auch über die Befehlszeilenausgabe abgerufen werden:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Hier ist das Verfahren zum Aktualisieren des Zertifikats auf dem Avamar-Server auf Port 9443:
1. Beenden Sie die Services Avamar Management Console Server (MCS) und EM Tomcat (EMT):
2. Sichern und erzeugen Sie ein neues MCS Developer Kit (MCSDK)-Zertifikat:
3. Sichern und aktualisieren Sie das Administratorzertifikat:
Für Avamar 19.4 oder frühere Versionen:
Für Avamar 19.8 oder spätere Versionen:
4. Aktualisieren Sie das Avinstaller-Zertifikat:
5. Starten Sie den Avamar MC-Server und die EMT-Services:
Der CN des Zertifikats sollte auf den Hostnamen aktualisiert worden sein. Hier ist eine Beispielausgabe:
Abbildung 2: Der CN des Zertifikats stimmt mit dem Namen des Computers überein.
Die gleichen Informationen finden Sie in der Befehlszeilenausgabe:
Nachdem ein neues Avamar MC-Serverzertifikat erzeugt wurde, müssen auch die Avamar-Serverinformationen in Data Protection Central (DPC) aktualisiert werden:
1. Melden Sie sich bei der DPC-Webnutzeroberfläche als administrator@dpc.local an.
2. Wählen Sie den Avamar Server unter "System Management" aus und klicken Sie auf "Edit".
3. Aktualisieren Sie die Avamar-Zugangsdaten. Der Avamar-Nutzername lautet "MCUser" und klicken Sie dann auf "Next".
4. Akzeptieren Sie die Zertifikatsänderung und speichern Sie sie.
Abbildung 3: Akzeptieren Sie ein neues Avamar-Serverzertifikat in DPC.
1. Beenden Sie die Services Avamar Management Console Server (MCS) und EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Sichern und erzeugen Sie ein neues MCS Developer Kit (MCSDK)-Zertifikat:
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Sichern und aktualisieren Sie das Administratorzertifikat:
Für Avamar 19.4 oder frühere Versionen:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Für Avamar 19.8 oder spätere Versionen:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Aktualisieren Sie das Avinstaller-Zertifikat:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Starten Sie den Avamar MC-Server und die EMT-Services:
dpnctl start mcs dpnctl start emt
Der CN des Zertifikats sollte auf den Hostnamen aktualisiert worden sein. Hier ist eine Beispielausgabe:
Abbildung 2: Der CN des Zertifikats stimmt mit dem Namen des Computers überein.
Die gleichen Informationen finden Sie in der Befehlszeilenausgabe:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Nachdem ein neues Avamar MC-Serverzertifikat erzeugt wurde, müssen auch die Avamar-Serverinformationen in Data Protection Central (DPC) aktualisiert werden:
1. Melden Sie sich bei der DPC-Webnutzeroberfläche als administrator@dpc.local an.
2. Wählen Sie den Avamar Server unter "System Management" aus und klicken Sie auf "Edit".
3. Aktualisieren Sie die Avamar-Zugangsdaten. Der Avamar-Nutzername lautet "MCUser" und klicken Sie dann auf "Next".
4. Akzeptieren Sie die Zertifikatsänderung und speichern Sie sie.
Abbildung 3: Akzeptieren Sie ein neues Avamar-Serverzertifikat in DPC.
Additional Information
Für Avamar-Proxyports 443 und 5480:
Die folgende Sicherheitslücke konnte auf dem Avamar-Proxy für alle IDPA-Versionen auf oder unter 2.7.6 erkannt werden:
Dieses Problem wurde in Avamar Proxy-Version 19.10 behoben. Führen Sie ein Upgrade auf IDPA-Version 2.7.7 durch, das die Avamar-Version 19.10 enthält.
Den Workaround für IDPA 2.7.6 oder niedriger finden Sie im Dell Avamar for VMware 19.9 – Benutzerhandbuch. Das Verfahren finden Sie im Abschnitt "Import custom certificate in Avamar VMware Image Backup Proxy". Außerdem gibt es: Avamar: So ersetzen Sie das Zertifikat für Avamar VMware Image Backup Proxy ." (Authentifizierung im Dell Support-Portal erforderlich)
Die folgende Sicherheitslücke konnte auf dem Avamar-Proxy für alle IDPA-Versionen auf oder unter 2.7.6 erkannt werden:
| Titel der Sicherheitslücke | CVSS2-Bewertung | Bestandsname | Schutz vor Sicherheitslücken | Schnittstelle | Protokoll | Empfehlung |
| Betreff-CN des X.509-Zertifikats stimmt nicht mit dem Entitätsnamen überein. | 7.1 | Avamar-Proxy | Der im X.509-Zertifikat gefundene Common Name des Antragstellers stimmt nicht mit dem Scanziel überein: Der Antragsteller-CN-Administrator stimmt nicht mit dem DNS-Namen überein, der am Standort angegeben ist. | 5480 / 443 | TCP | Korrigieren Sie das Feld "Common Name" (CN) des Antragstellers im Zertifikat. |
Dieses Problem wurde in Avamar Proxy-Version 19.10 behoben. Führen Sie ein Upgrade auf IDPA-Version 2.7.7 durch, das die Avamar-Version 19.10 enthält.
Den Workaround für IDPA 2.7.6 oder niedriger finden Sie im Dell Avamar for VMware 19.9 – Benutzerhandbuch. Das Verfahren finden Sie im Abschnitt "Import custom certificate in Avamar VMware Image Backup Proxy". Außerdem gibt es: Avamar: So ersetzen Sie das Zertifikat für Avamar VMware Image Backup Proxy ." (Authentifizierung im Dell Support-Portal erforderlich)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.