PowerProtect：DP 系列和 IDPA：Avamar Server 連接埠 9443的「X.509 憑證主體 CN 與實體名稱不相符」漏洞

Table of Contents

Detailed Article

Symptoms

Cause

Resolution

Additional Info

Affected Products

Provide Feedback

Summary: PowerProtect Data Protection （DP）系列應用裝置和 Integrated Data Protection Appliance （IDPA）：安全性漏洞掃描偵測到適用於 IDPA 2.7.7 版或更低版本的 Avamar 伺服器連接埠 9443「X.509 憑證主體 CN 與實體名稱不符」。本文提供解決此問題的程序。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Symptoms

在 2.7.7 上或低於 2.7.7 的所有 IDPA 版本，都可在保護軟體（Avamar Server）上偵測到下列漏洞：

漏洞標題	CVSS2 分數	資產名稱	漏洞證明	連接埠	通訊協定	建議
X.509 憑證主體 CN 與實體名稱不相符。	7.1	Avamar	在 X.509 憑證中找到的消費者通用名稱與掃描目標不匹配：主題 CN 管理員與網站上指定的功能變數名稱系統（DNS）名稱不匹配。	9443	TCP	修復證書中消費者的公用名（CN）欄位。

Cause

連接埠 9443 上的預設 Avamar Server 自我簽署 SSL 憑證已將通用名稱（CN）設定為系統管理員。在連接埠 9443 上的 Avamar Web 介面中，憑證會顯示如下所示的 CN 資訊：

圖 1：連接埠 9443 上的預設 Avamar Server 憑證顯示 CN = 系統管理員。

此外，也可以從命令列輸出中找到相同的資訊：

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator
   i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator

--- skipped the remaining part ---

Resolution

以下是在連接埠 9443：

1 上更新 Avamar Server 憑證的程序。停止 Avamar 管理主控台伺服器（MCS）和 EM Tomcat （EMT）服務：

dpnctl stop mcs
dpnctl stop emt

2.備份並產生新的 MCS 開發人員套件（MCSDK）憑證：

cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

3.備份和更新管理員憑證：

適用於 Avamar 19.4 或更早版本：

cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

適用於 Avamar 19.8 或更新版本：

cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

4.更新 Avinstaller 憑證：

cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose

5.啟動 Avamar MC 伺服器和 EMT 服務：

dpnctl start mcs
dpnctl start emt

憑證的 CN 應已更新為主機名稱。以下為輸出範例：

圖 2：證書的 CN 與電腦名稱匹配。

可以在命令列輸出中找到相同的資訊：

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab
   i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab

--- skipped the remaining part ---

產生新的 Avamar MC Server 憑證後，也必須在 Data Protection Central （DPC）中更新 Avamar Server 資訊：

1.以 administrator@dpc.local 身分登入 DPC Web 使用者介面。

2.從「System Management」中選取 Avamar Server，然後按「Edit」it （

編輯）。3.更新 Avamar 登入資料，Avamar 使用者名稱為「MCUser」，然後按一下「下一步」。

4.接受憑證變更並「儲存」。

圖 3：在 DPC 中接受新的 Avamar Server 憑證。

Additional Information

對於 Avamar 代理連接埠 443 和 5480：

在 2.7.6 或低於 2.7.6 的所有 IDPA 版本的 Avamar Proxy 上可能會偵測到下列漏洞：

漏洞標題	CVSS2 分數	資產名稱	漏洞證明	連接埠	通訊協定	建議
X.509 憑證主體 CN 與實體名稱不相符。	7.1	Avamar 代理	在 X.509 憑證中找到的消費者通用名稱與掃描目標不匹配：主題 CN 管理員與網站上指定的 DNS 名稱不匹配。	5480 / 443	TCP	修復證書中消費者的公用名（CN）欄位。

此問題已在 Avamar 代理版本 19.10 中解決。升級至 IDPA 版本 2.7.7，其中包括 Avamar 版本 19.10。

如需 IDPA 2.7.6 或更低版本的因應措施，請參閱適用於 VMware 19.9 的 Dell Avamar 使用者指南。此程序位於「在 Avamar VMware 映像備份代理中匯入自訂憑證」一節下。還有：Avamar：如何更換 Avamar VMware 映像備份代理的憑證。」（需要在 Dell 支援入口網站上進行驗證）

Affected Products

PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family , Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...

Article Number: 000227729

Article Type: Solution

Last Modified: 05 Aug 2025

Version: 2

Check if your device is covered by Support Services.

PowerProtect：DP 系列和 IDPA：Avamar Server 連接埠 9443的「X.509 憑證主體 CN 與實體名稱不相符」漏洞

Symptoms

Cause

Resolution

Additional Information

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services