PowerProtect: Serie DP e IDPA: Vulnerabilità "X.509 Certificate Subject CN Does Not Match the Entity Name" per la porta 9443 di Avamar Server
Summary: Appliance serie PowerProtect Data Protection (DP) e Integrated Data Protection Appliance (IDPA): La scansione delle vulnerabilità di sicurezza ha rilevato "X.509 Certificate Subject CN Does Not Match the Entity Name" per la porta 9443 di Avamar Server per IDPA versione 2.7.7 o precedente. Questo articolo fornisce una procedura per risolvere il problema. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
È possibile rilevare le seguenti vulnerabilità in Protection Software (Avamar Server) per tutte le versioni di IDPA a partire da 2.7.7:
| Titolo vulnerabilità | Punteggio CVSS2 | Nome asset | A prova di vulnerabilità | Porta | Protocollo | Raccomandazioni |
| Il CN dell'oggetto del certificato X.509 non corrisponde al nome dell'entità. | 7.1 | Avamar | Il nome comune del soggetto trovato nel certificato X.509 non corrisponde alla destinazione di scansione: L'amministratore CN soggetto non corrisponde al nome DNS (Domain Name System) specificato nel sito. | 9443 | TCP | Correggere il campo Nome comune (CN) del soggetto nel certificato. |
Cause
Il certificato SSL autofirmato predefinito dell'Avamar Server sulla porta 9443 ha il nome comune (CN) impostato su Administrator. Dall'interfaccia web di Avamar sulla porta 9443, il certificato mostra le informazioni CN come illustrato di seguito:
Figura 1: Il certificato Avamar Server predefinito sulla porta 9443 mostra CN = Administrator.
Inoltre, le stesse informazioni possono essere trovate dall'output della riga di comando:
Figura 1: Il certificato Avamar Server predefinito sulla porta 9443 mostra CN = Administrator.
Inoltre, le stesse informazioni possono essere trovate dall'output della riga di comando:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Di seguito è riportata la procedura per aggiornare il certificato sull'Avamar Server sulla porta 9443:
1. Arrestare i servizi Avamar Management Console Server (MCS) ed EM Tomcat (EMT):
2. Eseguire il backup e generare un nuovo certificato MCSDK (MCS Developer Kit):
3. Backup e aggiornamento del certificato amministratore:
per Avamar 19.4 o versioni precedenti:
Per Avamar 19.8 o versioni successive:
4. Aggiornare il certificato del programma di installazione Av:
5. Avviare il server Avamar MC e i servizi EMT:
Il CN del certificato deve essere stato aggiornato al nome host. Di seguito è riportato un esempio di output:
Figura 2: Il CN del certificato corrisponde al nome del computer.
Le stesse informazioni sono reperibili nell'output della riga di comando:
Dopo la generazione di un nuovo certificato di Avamar MC Server, le informazioni di Avamar Server devono essere aggiornate anche in DPC (Data Protection Central):
1. Accedere all'interfaccia web di DPC come administrator@dpc.local.
2. Selezionare l'Avamar Server da "System Management" e "Edit".
3. Aggiornare le credenziali Avamar; il nome utente Avamar è "MCUser", quindi cliccare su "Next".
4. Accettare la modifica del certificato e cliccare su "Save".
Figura 3. Accettare un nuovo certificato Avamar Server in DPC.
1. Arrestare i servizi Avamar Management Console Server (MCS) ed EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Eseguire il backup e generare un nuovo certificato MCSDK (MCS Developer Kit):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Backup e aggiornamento del certificato amministratore:
per Avamar 19.4 o versioni precedenti:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Per Avamar 19.8 o versioni successive:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Aggiornare il certificato del programma di installazione Av:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Avviare il server Avamar MC e i servizi EMT:
dpnctl start mcs dpnctl start emt
Il CN del certificato deve essere stato aggiornato al nome host. Di seguito è riportato un esempio di output:
Figura 2: Il CN del certificato corrisponde al nome del computer.
Le stesse informazioni sono reperibili nell'output della riga di comando:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Dopo la generazione di un nuovo certificato di Avamar MC Server, le informazioni di Avamar Server devono essere aggiornate anche in DPC (Data Protection Central):
1. Accedere all'interfaccia web di DPC come administrator@dpc.local.
2. Selezionare l'Avamar Server da "System Management" e "Edit".
3. Aggiornare le credenziali Avamar; il nome utente Avamar è "MCUser", quindi cliccare su "Next".
4. Accettare la modifica del certificato e cliccare su "Save".
Figura 3. Accettare un nuovo certificato Avamar Server in DPC.
Additional Information
Per le porte proxy Avamar 443 e 5480:
È possibile rilevare la seguente vulnerabilità su Avamar Proxy per tutte le versioni di IDPA 2.7.6 o versioni precedenti:
Il problema è stato risolto in Avamar Proxy versione 19.10. Eseguire l'upgrade a IDPA versione 2.7.7 che include Avamar versione 19.10.
La soluzione alternativa per IDPA 2.7.6 o versione inferiore è disponibile nella Guida utente di Dell Avamar per VMware 19.9. La procedura si trova nella sezione "Import custom certificate in Avamar VMware Image Backup Proxy". C'è anche: Avamar: Come sostituire il certificato per Avamar VMware Image Backup Proxy ." (Richiede l'autenticazione sul portale del supporto Dell)
È possibile rilevare la seguente vulnerabilità su Avamar Proxy per tutte le versioni di IDPA 2.7.6 o versioni precedenti:
| Titolo vulnerabilità | Punteggio CVSS2 | Nome asset | A prova di vulnerabilità | Porta | Protocollo | Raccomandazioni |
| Il CN dell'oggetto del certificato X.509 non corrisponde al nome dell'entità. | 7.1 | Avamar Proxy | Il nome comune del soggetto trovato nel certificato X.509 non corrisponde alla destinazione di scansione: L'amministratore CN soggetto non corrisponde al nome DNS specificato nel sito. | 5480 / 443 | TCP | Correggere il campo Nome comune (CN) del soggetto nel certificato. |
Il problema è stato risolto in Avamar Proxy versione 19.10. Eseguire l'upgrade a IDPA versione 2.7.7 che include Avamar versione 19.10.
La soluzione alternativa per IDPA 2.7.6 o versione inferiore è disponibile nella Guida utente di Dell Avamar per VMware 19.9. La procedura si trova nella sezione "Import custom certificate in Avamar VMware Image Backup Proxy". C'è anche: Avamar: Come sostituire il certificato per Avamar VMware Image Backup Proxy ." (Richiede l'autenticazione sul portale del supporto Dell)
Affected Products
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000227729
Article Type: Solution
Last Modified: 05 Aug 2025
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.