PowerProtect: Série DP e IDPA: Vulnerabilidade "X.509 Certificate Subject CN Does Not Match the Entity Name" para a porta 9443 do Avamar Server
Summary: Equipamentos PowerProtect Data Protection (DP) Series e Integrated Data Protection Appliance (IDPA): A verificação de vulnerabilidade de segurança detectou "CN do assunto do certificado X.509 não corresponde ao nome da entidade" para a porta 9443 do servidor Avamar para o IDPA versão 2.7.7 ou anterior. Este artigo apresenta um procedimento para resolver o problema. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
As seguintes vulnerabilidades podem ser detectadas no Protection Software (Avamar Server) para todas as versões do IDPA na versão 2.7.7 ou inferior a ela:
| Título da vulnerabilidade | Pontuação CVSS2 | Nome do ativo | À prova de vulnerabilidades | Porta | Protocolo | Recomendação |
| X.509 O CN da entidade da entidade não corresponde ao nome da entidade. | 7.1 | Avamar | O nome comum do assunto encontrado no certificado X.509 não corresponde ao destino da verificação: O administrador CN assunto não corresponde ao nome DNS (Sistema de Nomes de Domínio) especificado no site. | 9443 | TCP | Corrija o campo Common Name (CN) do assunto no certificado. |
Cause
O certificado SSL autoassinado padrão do servidor Avamar na porta 9443 tem o nome comum (CN) definido como Administrator. Na interface Web do Avamar na porta 9443, o certificado mostra as informações do CN como segue:
Figura 1: O certificado padrão do Avamar Server na porta 9443 mostra CN = Administrator.
Além disso, as mesmas informações podem ser encontradas na saída da linha de comando:
Figura 1: O certificado padrão do Avamar Server na porta 9443 mostra CN = Administrator.
Além disso, as mesmas informações podem ser encontradas na saída da linha de comando:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Este é o procedimento para atualizar o certificado no Avamar Server na porta 9443:
1. Interrompa os serviços Avamar Management Console Server (MCS) e EM Tomcat (EMT):
2. Faça backup e gere um novo certificado MCSDK (MCS Developer Kit):
3. Faça backup e atualize o certificado de administrador:
para Avamar 19.4 ou versões anteriores:
Para Avamar 19.8 ou versões posteriores:
4. Atualize o certificado Avinstaller:
5. Inicie os serviços Avamar MC Server e EMT:
O CN do certificado deve ter sido atualizado para o nome do host. Aqui está um exemplo de resultado:
Figura 2: O CN do certificado corresponde ao nome da máquina.
As mesmas informações podem ser encontradas no resultado da linha de comando:
Depois que um novo certificado do servidor Avamar MC é gerado, as informações do servidor Avamar também precisam ser atualizadas no Data Protection Central (DPC):
1. Faça log-in na interface do usuário da Web do DPC como administrator@dpc.local.
2. Selecione o Avamar Server em "System Management" e "Edit".
3. Atualize a credencial do Avamar, o nome de usuário do Avamar é "MCUser" e clique em "Next".
4. Aceite a alteração do certificado e "Salve-o".
Figura 3: Aceite um novo certificado do servidor Avamar no DPC.
1. Interrompa os serviços Avamar Management Console Server (MCS) e EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Faça backup e gere um novo certificado MCSDK (MCS Developer Kit):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Faça backup e atualize o certificado de administrador:
para Avamar 19.4 ou versões anteriores:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Para Avamar 19.8 ou versões posteriores:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Atualize o certificado Avinstaller:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Inicie os serviços Avamar MC Server e EMT:
dpnctl start mcs dpnctl start emt
O CN do certificado deve ter sido atualizado para o nome do host. Aqui está um exemplo de resultado:
Figura 2: O CN do certificado corresponde ao nome da máquina.
As mesmas informações podem ser encontradas no resultado da linha de comando:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Depois que um novo certificado do servidor Avamar MC é gerado, as informações do servidor Avamar também precisam ser atualizadas no Data Protection Central (DPC):
1. Faça log-in na interface do usuário da Web do DPC como administrator@dpc.local.
2. Selecione o Avamar Server em "System Management" e "Edit".
3. Atualize a credencial do Avamar, o nome de usuário do Avamar é "MCUser" e clique em "Next".
4. Aceite a alteração do certificado e "Salve-o".
Figura 3: Aceite um novo certificado do servidor Avamar no DPC.
Additional Information
Para portas proxy 443 e 5480 do Avamar:
É possível detectar a seguinte vulnerabilidade no proxy Avamar para todas as versões do IDPA na versão 2.7.6 ou inferior:
O problema foi resolvido no proxy Avamar versão 19.10. Faça upgrade para o IDPA versão 2.7.7 e ele inclua o Avamar versão 19.10.
A solução temporária para o IDPA 2.7.6 ou anterior pode ser encontrada no Guia do usuário do Dell Avamar for VMware 19.9. O procedimento está na seção "Import custom certificate in Avamar VMware Image Backup Proxy". Há também: Avamar: Como substituir o certificado do proxy de backup de imagem do Avamar VMware ." (Requer autenticação no portal de suporte da Dell)
É possível detectar a seguinte vulnerabilidade no proxy Avamar para todas as versões do IDPA na versão 2.7.6 ou inferior:
| Título da vulnerabilidade | Pontuação CVSS2 | Nome do ativo | À prova de vulnerabilidades | Porta | Protocolo | Recomendação |
| X.509 O CN da entidade da entidade não corresponde ao nome da entidade. | 7.1 | Avamar Proxy | O nome comum do assunto encontrado no certificado X.509 não corresponde ao destino da verificação: O CN Administrator assunto não corresponde ao nome DNS especificado no site. | 5480 / 443 | TCP | Corrija o campo Common Name (CN) do assunto no certificado. |
O problema foi resolvido no proxy Avamar versão 19.10. Faça upgrade para o IDPA versão 2.7.7 e ele inclua o Avamar versão 19.10.
A solução temporária para o IDPA 2.7.6 ou anterior pode ser encontrada no Guia do usuário do Dell Avamar for VMware 19.9. O procedimento está na seção "Import custom certificate in Avamar VMware Image Backup Proxy". Há também: Avamar: Como substituir o certificado do proxy de backup de imagem do Avamar VMware ." (Requer autenticação no portal de suporte da Dell)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.