PowerProtect：DPシリーズおよびIDPA: Avamarサーバー ポート9443の「X.509証明書のサブジェクトCNがエンティティ名と一致しない」脆弱性

2.7.7以下のすべてのIDPAバージョンの保護ソフトウェア(Avamar Server)で、次の脆弱性が検出される可能性があります。
 

脆弱性のタイトル	CVSS2スコア	資産名	脆弱性への配慮	ポート	プロトコル	推奨手順
X.509 証明書のサブジェクト CN がエンティティ名と一致しません。	7.1	Avamar	X.509証明書で見つかったサブジェクト共通名が、次のスキャン ターゲットと一致しません。サブジェクトCN管理者が、サイトで指定されているドメイン ネーム システム(DNS)名と一致しません。	9443	TCP	証明書のサブジェクトの共通名(CN)フィールドを修正します。

ポート9443のデフォルトのAvamar Server自己署名SSL証明書では、共通名(CN)がAdministratorに設定されています。ポート9443のAvamar Webインターフェイスから、証明書に次のようなCN情報が表示されます


図1: ポート9443のデフォルトのAvamar Server証明書には、CN = Administratorと表示されます。

また、コマンドライン出力からも同じ情報を確認できます。

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator
   i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator

--- skipped the remaining part ---

ここでは、Avamar Serverのポート9443:

1で証明書を更新する手順について説明します。Avamar管理コンソール サーバー(MCS)およびEM Tomcat(EMT)サービスを停止します。

dpnctl stop mcs
dpnctl stop emt

2.新しいMCS Developer Kit (MCSDK)証明書をバックアップして生成します。

cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

3.管理者証明書のバックアップとアップデート:

Avamar 19.4以前のバージョンの場合:

cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

Avamar 19.8以降のバージョンの場合:

cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

4.Avinstaller証明書をアップデートします。

cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose

5.Avamar MCサーバーとEMTサービスを開始します。

dpnctl start mcs
dpnctl start emt

証明書のCNがホスト名に更新されている必要があります。出力例を次に示します

図2: 証明書のCNがマシン名と一致している。

同じ情報がコマンドライン出力に表示されます。

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab
   i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab

--- skipped the remaining part ---

新しいAvamar MCサーバー証明書が生成されたら、Data Protection Central (DPC)でもAvamarサーバー情報を更新する必要があります。

1。DPC Webユーザー インターフェイスに administrator@dpc.local.としてログインします

2.[System Management]からAvamar Serverを選択し、[Edit]します

3.Avamar認証情報をアップデートし、Avamarユーザー名を「MCUser」にして、[Next]をクリックします

4.証明書の変更を受け入れて「保存」します。

図3：DPCで新しいAvamar Server証明書を受け入れます。

Avamarプロキシ ポート443および5480の場合:

2.7.6以下のすべてのIDPAバージョンのAvamarプロキシで、次の脆弱性が検出される可能性があります。

脆弱性のタイトル	CVSS2スコア	資産名	脆弱性への配慮	ポート	プロトコル	推奨手順
X.509 証明書のサブジェクト CN がエンティティ名と一致しません。	7.1	Avamarプロキシ	X.509証明書で見つかったサブジェクト共通名が、次のスキャン ターゲットと一致しません。サブジェクトCN管理者が、サイトで指定されたDNS名と一致しません。	5480 / 443	TCP	証明書のサブジェクトの共通名(CN)フィールドを修正します。

この問題は、Avamarプロキシ バージョン19.10で解決されました。IDPAバージョン2.7.7にアップグレードすると、Avamarバージョン19.10.

が含まれます。IDPA 2.7.6以下の回避策については、『Dell Avamar for VMware 19.9ユーザー ガイド』を参照してください。この手順は、「Avamar VMwareイメージ バックアップ プロキシでのカスタム証明書のインポート」セクションにあります。また、次の要素もあります。Avamar：How to replace the certificate for Avamar VMware Image Backup Proxy 」を参照してください。(Dellサポート ポータルでの認証が必要)

PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family , Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ... View More about warranties View Less about warranties