PowerProtect: Serie DP e IDPA: Vulnerabilidad "X.509 Certificate Subject CN Does Not Match the Entity Name" para Avamar Server Port 9443
Summary: Dispositivos de la serie PowerProtect Data Protection (DP) y Integrated Data Protection Appliance (IDPA): Se detectó un análisis de vulnerabilidad de seguridad "El CN del sujeto del certificado X.509 no coincide con el nombre de la entidad" para el puerto 9443 del servidor Avamar para IDPA versión 2.7.7 o anterior. En este artículo, se proporciona un procedimiento para resolver el problema. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Se pueden detectar las siguientes vulnerabilidades en Protection Software (Avamar Server) para todas las versiones de IDPA en o anteriores a 2.7.7:
| Título de la vulnerabilidad | Puntuación CVSS2 | Nombre del activo | A prueba de vulnerabilidades | Puerto | Protocolo | Recomendación |
| El CN del sujeto del certificado X.509 no coincide con el nombre de la entidad. | 7.1 | Avamar | El nombre común del sujeto que se encuentra en el certificado X.509 no coincide con el destino del escaneo: El administrador de CN en cuestión no coincide con el nombre del sistema de nombres de dominio (DNS) especificado en el sitio. | 9443 | TCP | Corrija el campo Nombre común (CN) del sujeto en el certificado. |
Cause
El certificado SSL autofirmado predeterminado de Avamar Server en el puerto 9443 tiene el nombre común (CN) establecido en Administrator. En la interfaz web de Avamar en el puerto 9443, el certificado muestra la información de CN como se indica a continuación:
Figura 1: El certificado predeterminado de Avamar Server en el puerto 9443 muestra CN = Administrator.
Además, se puede encontrar la misma información en la salida de la línea de comandos:
Figura 1: El certificado predeterminado de Avamar Server en el puerto 9443 muestra CN = Administrator.
Además, se puede encontrar la misma información en la salida de la línea de comandos:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Este es el procedimiento para actualizar el certificado en Avamar Server en el puerto 9443:
1. Detenga los servicios Avamar Management Console Server (MCS) y EM Tomcat (EMT):
2. Respalde y genere un nuevo certificado del kit para desarrolladores de MCS (MCSDK):
3. Respalde y actualice el certificado de administrador:
Para Avamar 19.4 o versiones anteriores:
Para Avamar 19.8 o versiones posteriores:
4. Actualice el certificado de Avinstaller:
5. Inicie el servidor Avamar MC y los servicios de EMT:
El CN del certificado se debe haber actualizado al nombre de host. A continuación, se muestra un ejemplo de resultado:
Figura 2: El CN del certificado coincide con el nombre de la máquina.
La misma información se puede encontrar en la salida de la línea de comandos:
Después de que se genera un nuevo certificado de Avamar MC Server, la información de Avamar Server también se debe actualizar en Data Protection Central (DPC):
1 Inicie sesión en la interfaz de usuario web de DPC como administrator@dpc.local.
2. Seleccione el servidor Avamar en "System Management" y "Edit".
3. Actualice la credencial de Avamar. El nombre de usuario de Avamar es "MCUser" y, a continuación, haga clic en "Next".
4. Acepte el cambio de certificado y "Guárdelo".
Figura 3: Acepte un nuevo certificado de Avamar Server en DPC.
1. Detenga los servicios Avamar Management Console Server (MCS) y EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Respalde y genere un nuevo certificado del kit para desarrolladores de MCS (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Respalde y actualice el certificado de administrador:
Para Avamar 19.4 o versiones anteriores:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Para Avamar 19.8 o versiones posteriores:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Actualice el certificado de Avinstaller:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Inicie el servidor Avamar MC y los servicios de EMT:
dpnctl start mcs dpnctl start emt
El CN del certificado se debe haber actualizado al nombre de host. A continuación, se muestra un ejemplo de resultado:
Figura 2: El CN del certificado coincide con el nombre de la máquina.
La misma información se puede encontrar en la salida de la línea de comandos:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Después de que se genera un nuevo certificado de Avamar MC Server, la información de Avamar Server también se debe actualizar en Data Protection Central (DPC):
1 Inicie sesión en la interfaz de usuario web de DPC como administrator@dpc.local.
2. Seleccione el servidor Avamar en "System Management" y "Edit".
3. Actualice la credencial de Avamar. El nombre de usuario de Avamar es "MCUser" y, a continuación, haga clic en "Next".
4. Acepte el cambio de certificado y "Guárdelo".
Figura 3: Acepte un nuevo certificado de Avamar Server en DPC.
Additional Information
Para los puertos proxy 443 y 5480 de Avamar:
Se podía detectar la siguiente vulnerabilidad en el proxy de Avamar para todas las versiones de IDPA en o anteriores a 2.7.6:
El problema se resolvió en Avamar Proxy versión 19.10. Actualice a IDPA versión 2.7.7 e incluya Avamar versión 19.10.
La solución alternativa para IDPA 2.7.6 o una versión anterior se puede encontrar en la Guía del usuario de Dell Avamar para VMware 19.9. El procedimiento se encuentra en la sección "Import custom certificate in Avamar VMware Image Backup Proxy". También hay: Avamar: "Cómo reemplazar el certificado para Avamar VMware Image Backup Proxy ". (Requiere autenticación en el portal de soporte de Dell)
Se podía detectar la siguiente vulnerabilidad en el proxy de Avamar para todas las versiones de IDPA en o anteriores a 2.7.6:
| Título de la vulnerabilidad | Puntuación CVSS2 | Nombre del activo | A prueba de vulnerabilidades | Puerto | Protocolo | Recomendación |
| El CN del sujeto del certificado X.509 no coincide con el nombre de la entidad. | 7.1 | Avamar Proxy | El nombre común del sujeto que se encuentra en el certificado X.509 no coincide con el destino del escaneo: El administrador de CN en cuestión no coincide con el nombre DNS especificado en el sitio. | 5480 / 443 | TCP | Corrija el campo Nombre común (CN) del sujeto en el certificado. |
El problema se resolvió en Avamar Proxy versión 19.10. Actualice a IDPA versión 2.7.7 e incluya Avamar versión 19.10.
La solución alternativa para IDPA 2.7.6 o una versión anterior se puede encontrar en la Guía del usuario de Dell Avamar para VMware 19.9. El procedimiento se encuentra en la sección "Import custom certificate in Avamar VMware Image Backup Proxy". También hay: Avamar: "Cómo reemplazar el certificado para Avamar VMware Image Backup Proxy ". (Requiere autenticación en el portal de soporte de Dell)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.