PowerProtect：DP 系列和 IDPA：针对 Avamar Server 端口 9443 的“X.509 证书主题 CN 与实体名称不匹配”漏洞

Table of Contents

Detailed Article

Symptoms

Cause

Resolution

Additional Info

Affected Products

Provide Feedback

Summary: PowerProtect Data Protection （DP）系列备份一体机和融合备份一体机（IDPA）：对于 IDPA 版本 2.7.7 或更低版本，检测到 Avamar Server 端口 9443 的安全漏洞扫描“X.509 证书主题 CN 与实体名称不匹配”。本文提供了解决问题的过程。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Symptoms

对于 2.7.7 或更低版本的所有 IDPA 版本，可以在保护软件（Avamar Server）上检测到以下漏洞：

漏洞标题	CVSS2 分数	资产名称	漏洞证明	端口	协议	建议
X.509 证书主题 CN 与实体名称不匹配。	7.1	Avamar	在 X.509 证书中找到的主题公用名称与扫描目标不匹配：主题 CN Administrator 与站点上指定的域名系统（DNS）名称不匹配。	9443	TCP	修复证书中主题的公用名（CN）字段。

Cause

端口 9443 上的默认 Avamar Server 自签名 SSL 证书的通用名称（CN）设置为管理员。在端口 9443 上的 Avamar Web 界面中，证书显示 CN 信息，如下所示：

图 1：端口 9443 上的默认 Avamar Server 证书显示 CN = Administrator。

此外，还可以从命令行输出中找到相同的信息：

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator
   i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator

--- skipped the remaining part ---

Resolution

以下是在 Avamar Server 上更新端口 9443：

1 上的证书的过程。停止 Avamar Management Console Server （MCS）和 EM Tomcat （EMT）服务：

dpnctl stop mcs
dpnctl stop emt

2.备份并生成新的 MCS 开发人员工具包（MCSDK）证书：

cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

3.备份和更新管理员证书：

对于 Avamar 19.4 或更低版本：

cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

对于 Avamar 19.8 或更高版本：

cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

4.更新 Avinstaller 证书：

cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose

5.启动 Avamar MC 服务器和 EMT 服务：

dpnctl start mcs
dpnctl start emt

证书的 CN 应已更新为主机名。下面是一个示例输出：

图 2：证书的 CN 与计算机名称匹配。

可以在命令行输出中找到相同的信息：

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab
   i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab

--- skipped the remaining part ---

生成新的 Avamar MC Server 证书后，还必须在 Data Protection Central （DPC）中更新 Avamar Server 信息：

1。以 administrator@dpc.local身份登录到 DPC Web 用户界面。

2.从“System Management”中选择 Avamar Server，

然后单击“Edit”。3.更新 Avamar 凭据，Avamar 用户名为“MCUser”，然后单击“Next”。

4.接受证书更改并“保存”。

图 3：在 DPC 中接受新的 Avamar Server 证书。

Additional Information

对于 Avamar 代理端口 443 和 5480：

对于所有 IDPA 版本低于 2.7.6 的 Avamar Proxy，都可以检测到以下漏洞：

漏洞标题	CVSS2 分数	资产名称	漏洞证明	端口	协议	建议
X.509 证书主题 CN 与实体名称不匹配。	7.1	Avamar 代理	在 X.509 证书中找到的主题公用名称与扫描目标不匹配：主题 CN 管理员与站点上指定的 DNS 名称不匹配。	5480 / 443	TCP	修复证书中主题的公用名（CN）字段。

此问题已在 Avamar 代理版本 19.10 中得到解决。升级到 IDPA 版本 2.7.7，其中包括 Avamar 版本 19.10。

有关 IDPA 2.7.6 或更低版本的解决方法，请参阅 Dell Avamar for VMware 19.9 用户指南。该过程位于“在 Avamar VMware Image Backup Proxy 中导入自定义证书”部分下。还有：Avamar：如何替换 Avamar VMware 映像备份代理的证书。”（需要在戴尔支持门户上进行身份验证）

Affected Products

PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family , Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...

Article Number: 000227729

Article Type: Solution

Last Modified: 05 Aug 2025

Version: 2

Check if your device is covered by Support Services.

PowerProtect：DP 系列和 IDPA：针对 Avamar Server 端口 9443 的“X.509 证书主题 CN 与实体名称不匹配”漏洞

Summary: PowerProtect Data Protection （DP）系列备份一体机和融合备份一体机（IDPA）：对于 IDPA 版本 2.7.7 或更低版本，检测到 Avamar Server 端口 9443 的安全漏洞扫描“X.509 证书主题 CN 与实体名称不匹配”。本文提供了解决问题的过程。

Symptoms

Cause

Resolution

Additional Information

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services