PowerProtect: DP-serien och IDPA: Säkerhetsproblemet "X.509 Certificate Subject CN Does Not Match the Entity Name" för Avamar Server-port 9443
Summary: Enheter i PowerProtect Data Protection (DP)-serien och Integrated Data Protection Appliance (IDPA): Genomsökning av säkerhetsproblem har upptäckt "X.509 Certificate Subject CN Does Not Match the Entity Name" för Avamar Server-port 9443 för IDPA version 2.7.7 eller lägre. Den här artikeln innehåller en procedur för att lösa problemet. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Följande säkerhetsproblem kan upptäckas i skyddsprogrammet (Avamar Server) för alla IDPA-versioner på eller tidigare 2.7.7:
| Titel på sårbarhet | CVSS2-poäng | Tillgångsnamn | Sårbarhetsbevis | Port | Protokoll | Rekommendation |
| X.509-certifikatets ämnes-CN matchar inte entitetsnamnet. | 7.1 | Avamar | Ämnesnamnet som finns i X.509-certifikatet matchar inte genomsökningsmålet: Ämnesadministratören för CN matchar inte DNS-namnet (Domain Name System) som anges på webbplatsen. | 9443 | TCP | Åtgärda ämnets fält för eget namn (CN) i certifikatet. |
Cause
Det självsignerade SSL-standardcertifikatet för Avamar Server på port 9443 har nätverksnamnet (CN) inställt på Administratör. Från Avamar-webbgränssnittet på port 9443 visar certifikatet CN-informationen enligt nedan:
Bild 1: Standardcertifikatet för Avamar Server på port 9443 visar CN = Administrator.
Samma information kan också hittas från kommandoradsutdata:
Bild 1: Standardcertifikatet för Avamar Server på port 9443 visar CN = Administrator.
Samma information kan också hittas från kommandoradsutdata:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Här är proceduren för att uppdatera certifikatet på Avamar Server på port 9443:
1. Stoppa tjänsterna Avamar Management Console Server (MCS) och EM Tomcat (EMT):
2. Säkerhetskopiera och generera ett nytt MCS Developer Kit-certifikat (MCSDK):
3. Säkerhetskopiera och uppdatera administratörscertifikatet:
För Avamar 19.4 eller tidigare versioner:
För Avamar 19.8 eller senare versioner:
4. Uppdatera Avinstaller-certifikatet:
5. Starta Avamar MC-servern och EMT-tjänsterna:
Certifikatets CN bör ha uppdaterats till värdnamnet. Här är ett exempel på utdata:
Bild 2: Certifikatets CN matchas med datornamnet.
Samma information finns i kommandoradsutdata:
När ett nytt Avamar MC Server-certifikat har genererats måste Avamar Server-informationen även uppdateras i Data Protection Central (DPC):
1. Logga in på DPC-webbanvändargränssnittet som administrator@dpc.local.
2. Välj Avamar-servern under System Management och redigera den.
3. Uppdatera Avamar-inloggningsuppgifterna, Avamar-användarnamnet är "MCUser" och klicka sedan på "Next".
4. Godkänn certifikatändringen och spara den.
Bild 3: Acceptera ett nytt Avamar-servercertifikat i DPC.
1. Stoppa tjänsterna Avamar Management Console Server (MCS) och EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Säkerhetskopiera och generera ett nytt MCS Developer Kit-certifikat (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Säkerhetskopiera och uppdatera administratörscertifikatet:
För Avamar 19.4 eller tidigare versioner:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
För Avamar 19.8 eller senare versioner:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Uppdatera Avinstaller-certifikatet:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Starta Avamar MC-servern och EMT-tjänsterna:
dpnctl start mcs dpnctl start emt
Certifikatets CN bör ha uppdaterats till värdnamnet. Här är ett exempel på utdata:
Bild 2: Certifikatets CN matchas med datornamnet.
Samma information finns i kommandoradsutdata:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
När ett nytt Avamar MC Server-certifikat har genererats måste Avamar Server-informationen även uppdateras i Data Protection Central (DPC):
1. Logga in på DPC-webbanvändargränssnittet som administrator@dpc.local.
2. Välj Avamar-servern under System Management och redigera den.
3. Uppdatera Avamar-inloggningsuppgifterna, Avamar-användarnamnet är "MCUser" och klicka sedan på "Next".
4. Godkänn certifikatändringen och spara den.
Bild 3: Acceptera ett nytt Avamar-servercertifikat i DPC.
Additional Information
För Avamar-proxyportarna 443 och 5480:
Följande säkerhetsproblem kan upptäckas på Avamar Proxy för alla IDPA-versioner på eller tidigare 2.7.6:
Problemet har lösts i Avamar Proxy version 19.10. Uppgradera till IDPA version 2.7.7 så innehåller den Avamar version 19.10.
Lösningen för IDPA 2.7.6 eller tidigare finns i användarhandboken för Dell Avamar för VMware 19.9. Proceduren finns i avsnittet "Importera anpassat certifikat i Avamar VMware Image Backup Proxy". Det finns också: Avamar: Så här byter du ut certifikatet för Avamar VMware Image Backup Proxy ." (Kräver autentisering på Dells supportportal)
Följande säkerhetsproblem kan upptäckas på Avamar Proxy för alla IDPA-versioner på eller tidigare 2.7.6:
| Titel på sårbarhet | CVSS2-poäng | Tillgångsnamn | Sårbarhetsbevis | Port | Protokoll | Rekommendation |
| X.509-certifikatets ämnes-CN matchar inte entitetsnamnet. | 7.1 | Avamar-proxy | Ämnesnamnet som finns i X.509-certifikatet matchar inte genomsökningsmålet: Ämnesadministratören för CN matchar inte det DNS-namn som anges på webbplatsen. | 5480 / 443 | TCP | Åtgärda ämnets fält för eget namn (CN) i certifikatet. |
Problemet har lösts i Avamar Proxy version 19.10. Uppgradera till IDPA version 2.7.7 så innehåller den Avamar version 19.10.
Lösningen för IDPA 2.7.6 eller tidigare finns i användarhandboken för Dell Avamar för VMware 19.9. Proceduren finns i avsnittet "Importera anpassat certifikat i Avamar VMware Image Backup Proxy". Det finns också: Avamar: Så här byter du ut certifikatet för Avamar VMware Image Backup Proxy ." (Kräver autentisering på Dells supportportal)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.