PowerProtect: DP-serien og IDPA: Sikkerhetsproblemet med X.509-sertifikatemne CN samsvarer ikke med enhetsnavnet, sikkerhetsproblem for Avamar Server Port 9443
Summary: Verktøy i PowerProtect Data Protection (DP)-serien og Integrated Data Protection Appliance (IDPA): Skanning av sikkerhetssårbarhet oppdaget "X.509-sertifikatemne CN samsvarer ikke med enhetsnavnet" for Avamar Serverport 9443 for IDPA-versjon 2.7.7 eller eldre. Denne artikkelen inneholder en fremgangsmåte for å løse problemet. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Følgende sikkerhetsproblemer kan oppdages i beskyttelsesprogramvaren (Avamar Server) for alle IDPA-versjoner på eller lavere enn 2.7.7:
| Sårbarhetstittel | CVSS2-poengsum | Navn på ressurs | Sårbarhetsbevis | Port | Protokoll | Anbefaling |
| X.509-sertifikatemne CN samsvarer ikke med enhetsnavnet. | 7.1 | Avamar | Det vanlige navnet på emnet i X.509-sertifikatet samsvarer ikke med skannemålet: Emnet CN Administrator samsvarer ikke med DNS-navnet (Domain Name System) som er angitt på nettstedet. | 9443 | TCP | Korriger fagets Common Name-felt (CN) i sertifikatet. |
Cause
Standard Avamar Server selvsignert SSL-sertifikat på port 9443 har det vanlige navnet (CN) angitt til Administrator. Fra Avamar-nettgrensesnittet på port 9443 viser sertifikatet CN-informasjonen som nedenfor:
Figur 1: Standard Avamar Server-sertifikat på port 9443 viser CN = Administrator.
Den samme informasjonen kan også bli funnet fra kommandolinjeutgangen:
Figur 1: Standard Avamar Server-sertifikat på port 9443 viser CN = Administrator.
Den samme informasjonen kan også bli funnet fra kommandolinjeutgangen:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Her er fremgangsmåten for å oppdatere sertifikatet på Avamar Server på port 9443:
1. Stopp tjenestene for Avamar Management Console Server (MCS) og EM Tomcat (EMT):
2. Sikkerhetskopier og generer et nytt MCS Developer Kit-sertifikat (MCSDK):
3. Sikkerhetskopier og oppdater administratorsertifikatet:
For Avamar 19.4 eller tidligere versjoner:
For Avamar 19.8 eller nyere versjoner:
4. Oppdater Avinstaller-sertifikatet:
5. Start Avamar MC Server- og EMT-tjenestene:
CN for sertifikatet skal ha blitt oppdatert til vertsnavnet. Her er et eksempel på utdata:
Figur 2: Sertifikatets CN samsvarer med maskinnavnet.
Den samme informasjonen finner du i kommandolinjeutdataene:
Når et nytt Avamar MC Server-sertifikat er generert, må Avamar-serverinformasjonen oppdateres i Data Protection Central (DPC) også:
1. Logg på DPCs webgrensesnitt som administrator@dpc.local.
2. Velg Avamar-serveren fra "System Management", og rediger den.
3. Oppdater Avamar-legitimasjonen, Avamar-brukernavnet er "MCUser", og klikk deretter på "Next".
4. Godta sertifikatendringen og "Lagre" den.
Figur 3: Godta et nytt Avamar-serversertifikat i DPC.
1. Stopp tjenestene for Avamar Management Console Server (MCS) og EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Sikkerhetskopier og generer et nytt MCS Developer Kit-sertifikat (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Sikkerhetskopier og oppdater administratorsertifikatet:
For Avamar 19.4 eller tidligere versjoner:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
For Avamar 19.8 eller nyere versjoner:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Oppdater Avinstaller-sertifikatet:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Start Avamar MC Server- og EMT-tjenestene:
dpnctl start mcs dpnctl start emt
CN for sertifikatet skal ha blitt oppdatert til vertsnavnet. Her er et eksempel på utdata:
Figur 2: Sertifikatets CN samsvarer med maskinnavnet.
Den samme informasjonen finner du i kommandolinjeutdataene:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Når et nytt Avamar MC Server-sertifikat er generert, må Avamar-serverinformasjonen oppdateres i Data Protection Central (DPC) også:
1. Logg på DPCs webgrensesnitt som administrator@dpc.local.
2. Velg Avamar-serveren fra "System Management", og rediger den.
3. Oppdater Avamar-legitimasjonen, Avamar-brukernavnet er "MCUser", og klikk deretter på "Next".
4. Godta sertifikatendringen og "Lagre" den.
Figur 3: Godta et nytt Avamar-serversertifikat i DPC.
Additional Information
For Avamar Proxy-port 443 og 5480:
Følgende sikkerhetsproblem kan oppdages i Avamar Proxy for alle IDPA-versjoner på eller under 2.7.6:
Problemet er løst i Avamar Proxy versjon 19.10. Oppgrader til IDPA-versjon 2.7.7, og den inkluderer Avamar-versjon 19.10.
Du finner den midlertidige løsningen for IDPA 2.7.6 eller eldre i brukerveiledningen for Dell Avamar for VMware 19.9. Fremgangsmåten er under delen "Importer tilpasset sertifikat i Avamar VMware Image Backup Proxy". Det er også: Avamar: Hvordan erstatte sertifikatet for Avamar VMware Image Backup Proxy ." (Krever godkjenning på Dells støtteportal)
Følgende sikkerhetsproblem kan oppdages i Avamar Proxy for alle IDPA-versjoner på eller under 2.7.6:
| Sårbarhetstittel | CVSS2-poengsum | Navn på ressurs | Sårbarhetsbevis | Port | Protokoll | Anbefaling |
| X.509-sertifikatemne CN samsvarer ikke med enhetsnavnet. | 7.1 | Avamar Proxy | Det vanlige navnet på emnet i X.509-sertifikatet samsvarer ikke med skannemålet: Emnet CN Administrator samsvarer ikke med DNS-navnet som er angitt på nettstedet. | 5480 / 443 | TCP | Korriger fagets Common Name-felt (CN) i sertifikatet. |
Problemet er løst i Avamar Proxy versjon 19.10. Oppgrader til IDPA-versjon 2.7.7, og den inkluderer Avamar-versjon 19.10.
Du finner den midlertidige løsningen for IDPA 2.7.6 eller eldre i brukerveiledningen for Dell Avamar for VMware 19.9. Fremgangsmåten er under delen "Importer tilpasset sertifikat i Avamar VMware Image Backup Proxy". Det er også: Avamar: Hvordan erstatte sertifikatet for Avamar VMware Image Backup Proxy ." (Krever godkjenning på Dells støtteportal)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.