PowerProtect: DP Serisi ve IDPA: Avamar Server Bağlantı Noktası 9443 için "X.509 Sertifika Konusu CN Varlık Adıyla Eşleşmiyor" güvenlik açığı
Summary: PowerProtect Data Protection (DP) Serisi Cihazlar ve Tümleşik Veri Koruma Cihazı (IDPA): Güvenlik Açığı taraması, IDPA sürüm 2.7.7 veya altı için Avamar Server Bağlantı Noktası 9443 için "X.509 Sertifika Konusu CN Varlık Adıyla Eşleşmiyor" tespit etti. Bu makalede, sorunu çözmeye yönelik bir prosedür sunulmaktadır. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
2.7.7 ve altındaki tüm IDPA sürümleri için Protection Software'de (Avamar Server) aşağıdaki güvenlik açıkları algılanabilir:
| Güvenlik Açığı Başlığı | CVSS2 Puanı | Varlık Adı | Güvenlik Açığı Kanıtı | Bağlantı Noktası | Protokol | Öneri |
| X.509 sertifika konusu CN, varlık adı ile eşleşmiyor. | 7.1 | Avamar | X.509 sertifikasında bulunan konu ortak adı, tarama hedefiyle eşleşmiyor: Konu CN Yöneticisi, sitede belirtilen Etki Alanı Adı Sistemi (DNS) adıyla eşleşmiyor. | 9443 | TCP | Sertifikada konunun Ortak Ad (CN) alanını düzeltin. |
Cause
Bağlantı noktası 9443'teki varsayılan Avamar Server kendinden imzalı SSL sertifikasının ortak adı (CN) Yönetici olarak ayarlanmıştır. Bağlantı noktası 9443'teki Avamar web arayüzünden sertifika aşağıdaki gibi CN bilgilerini gösterir:
Şekil 1: Bağlantı noktası 9443'teki varsayılan Avamar Server sertifikası, CN = Yönetici değerini gösterir.
Ayrıca, aynı bilgiler komut satırı çıktısından da bulunabilir:
Şekil 1: Bağlantı noktası 9443'teki varsayılan Avamar Server sertifikası, CN = Yönetici değerini gösterir.
Ayrıca, aynı bilgiler komut satırı çıktısından da bulunabilir:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Avamar Server'da 9443:
1 numaralı bağlantı noktasında sertifikayı güncelleştirme prosedürü aşağıda verilmiştir. Avamar Management Console Server (MCS) ve EM Tomcat (EMT) hizmetlerini durdurun:
2. MCS Developer Kit (MCSDK) sertifikasını yedekleyin ve oluşturun:
3. Yönetici sertifikasını yedekleme ve güncelleştirme:
Avamar 19.4 veya önceki sürümler için:
Avamar 19.8 veya sonraki sürümler için:
4. Avinstaller sertifikasını güncelleştirin:
5. Avamar MC Server'ı ve EMT hizmetlerini başlatın:
Sertifikanın CN bilgisinin ana bilgisayar adına güncelleştirilmiş olması gerekir. Aşağıda örnek bir çıktı verilmiştir:
Şekil 2: Sertifikanın CN bilgisi, makine adıyla eşleştirilir.
Aynı bilgiler komut satırı çıktısında da bulunabilir:
Yeni bir Avamar MC Server sertifikası oluşturulduktan sonra, Avamar Server bilgileri Data Protection Central'da (DPC) da güncellenmelidir:
1. DPC web kullanıcı arayüzünde administrator@dpc.local olarak oturum açın.
2. System Management"tan Avamar Server'ı seçin ve "Edit" komutunu girin.
3. Avamar kimlik bilgilerini güncelleştirin, Avamar Kullanıcı Adı "MCUser" olur ve ardından "Next" öğesine tıklayın.
4. Sertifika değişikliğini kabul edin ve "Save" öğesini seçin.
Şekil 3: DPC'de yeni bir Avamar sunucu sertifikası kabul edin.
1 numaralı bağlantı noktasında sertifikayı güncelleştirme prosedürü aşağıda verilmiştir. Avamar Management Console Server (MCS) ve EM Tomcat (EMT) hizmetlerini durdurun:
dpnctl stop mcs dpnctl stop emt
2. MCS Developer Kit (MCSDK) sertifikasını yedekleyin ve oluşturun:
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Yönetici sertifikasını yedekleme ve güncelleştirme:
Avamar 19.4 veya önceki sürümler için:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Avamar 19.8 veya sonraki sürümler için:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Avinstaller sertifikasını güncelleştirin:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Avamar MC Server'ı ve EMT hizmetlerini başlatın:
dpnctl start mcs dpnctl start emt
Sertifikanın CN bilgisinin ana bilgisayar adına güncelleştirilmiş olması gerekir. Aşağıda örnek bir çıktı verilmiştir:
Şekil 2: Sertifikanın CN bilgisi, makine adıyla eşleştirilir.
Aynı bilgiler komut satırı çıktısında da bulunabilir:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Yeni bir Avamar MC Server sertifikası oluşturulduktan sonra, Avamar Server bilgileri Data Protection Central'da (DPC) da güncellenmelidir:
1. DPC web kullanıcı arayüzünde administrator@dpc.local olarak oturum açın.
2. System Management"tan Avamar Server'ı seçin ve "Edit" komutunu girin.
3. Avamar kimlik bilgilerini güncelleştirin, Avamar Kullanıcı Adı "MCUser" olur ve ardından "Next" öğesine tıklayın.
4. Sertifika değişikliğini kabul edin ve "Save" öğesini seçin.
Şekil 3: DPC'de yeni bir Avamar sunucu sertifikası kabul edin.
Additional Information
Avamar proxy bağlantı noktaları 443 ve 5480 için:
Aşağıdaki güvenlik açığı, 2.7.6 veya altındaki tüm IDPA sürümleri için Avamar Proxy'de algılanabilir:
Bu sorun Avamar Proxy sürüm 19.10'da çözülmüştür. Avamar sürüm 19.10'u içeren IDPA sürüm 2.7.7'ye yükseltin.
IDPA 2.7.6 veya altı sürümlere yönelik geçici çözüm, VMware İçin Dell Avamar 19.9 Kullanıcı Rehberi'nde bulunabilir. Prosedür, "Avamar VMware Image Backup Proxy'de özel sertifika içe aktarma" bölümü altındadır. Ayrıca şunlar da var: Avamar: Avamar VMware Image Backup Proxy sertifikasını değiştirme . (Dell Destek Portalı'nda kimlik doğrulaması gerektirir)
Aşağıdaki güvenlik açığı, 2.7.6 veya altındaki tüm IDPA sürümleri için Avamar Proxy'de algılanabilir:
| Güvenlik Açığı Başlığı | CVSS2 Puanı | Varlık Adı | Güvenlik Açığı Kanıtı | Bağlantı Noktası | Protokol | Öneri |
| X.509 sertifika konusu CN, varlık adı ile eşleşmiyor. | 7.1 | Avamar Proxy | X.509 sertifikasında bulunan konu ortak adı, tarama hedefiyle eşleşmiyor: Konu CN Yöneticisi, sitede belirtilen DNS adıyla eşleşmiyor. | 5480 / 443 | TCP | Sertifikada konunun Ortak Ad (CN) alanını düzeltin. |
Bu sorun Avamar Proxy sürüm 19.10'da çözülmüştür. Avamar sürüm 19.10'u içeren IDPA sürüm 2.7.7'ye yükseltin.
IDPA 2.7.6 veya altı sürümlere yönelik geçici çözüm, VMware İçin Dell Avamar 19.9 Kullanıcı Rehberi'nde bulunabilir. Prosedür, "Avamar VMware Image Backup Proxy'de özel sertifika içe aktarma" bölümü altındadır. Ayrıca şunlar da var: Avamar: Avamar VMware Image Backup Proxy sertifikasını değiştirme . (Dell Destek Portalı'nda kimlik doğrulaması gerektirir)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.