vProxy utilise un certificat auto-signé et ne peut pas utiliser un certificat signé par une autorité de certification
Résumé: Par défaut, vProxy utilise un certificat auto-signé pour communiquer avec NetWorker et ne prend actuellement pas en charge l’utilisation d’un certificat signé par une autorité de certification (AC). ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Un vProxy est configuré et déjà enregistré sur un NetWorker Server (NW)
Un logiciel de faille de sécurité du scanner signale que la communication sur ce port utilise un certificat auto-signé et recommande de placer un certificat signé par une autorité de certification.
Un logiciel de faille de sécurité du scanner signale que la communication sur ce port utilise un certificat auto-signé et recommande de placer un certificat signé par une autorité de certification.
Cause
Un serveur vProxy enregistré affiche les certificats suivants dans le dossier /data01/runtime/trust :
Le certificat vproxyCert.pem est utilisé par vProxy et le serveur NetWorker lors de la communication sur le port 9090.
Ce certificat est également chargé dans la configuration NW (nsrdb, nsr vmware proxy resource type). Elle est également visible à partir de NetWorker Management Console (NMC).
Ce certificat indique qu’il a été émis par <le nom> du serveur NetWorker.
vProxy ne fera confiance qu’au NetWorker auprès duquel il a été enregistré et vice versa.
| Détails du certificat ou du fichier | Description du fichier |
| -rw------- 1 root root 765 Sep 6 14 :31 node. CAcert.pem | Ce certificat est fourni avec l’OVA. C’est la même chose pour tous les clients |
| -rw------- 1 root root 887 Sep 6 14 :31 node. CAkey.pem | Cette clé est fournie avec l’OVA. C’est la même chose pour tous les clients |
| -rw------- 1 root root 806 Dec 17 10 :21 vProxy1.domain.CAcert.pem | Ce certificat est généré lors du premier démarrage |
| -rw------- 1 root root 887 Dec 17 10 :21 vProxy1.domain.CAkey.pem | Cette clé est générée lors du premier démarrage |
| -rw------- 1 root root 996 Dec 18 09 :45 vproxyCert.pem | Ce certificat est créé dans le cadre de l’enregistrement de NetWorker. Il est propre au NetWorker Server sur lequel vProxy est enregistré |
| -rw------- 1 root root 1676 Dec 18 09 :45 vproxyKey.pem | Cette clé est créée dans le cadre de l’enregistrement de NetWorker. Il est propre au NetWorker Server sur lequel vProxy est enregistré |
Le certificat vproxyCert.pem est utilisé par vProxy et le serveur NetWorker lors de la communication sur le port 9090.
Ce certificat est également chargé dans la configuration NW (nsrdb, nsr vmware proxy resource type). Elle est également visible à partir de NetWorker Management Console (NMC).
Ce certificat indique qu’il a été émis par <le nom> du serveur NetWorker.
vProxy ne fera confiance qu’au NetWorker auprès duquel il a été enregistré et vice versa.
Résolution
Il n’est pas possible de placer un certificat signé par une autorité de certification que vProxy peut utiliser pour communiquer via ce port.
Néanmoins, il n’y a pas d’implications en matière de sécurité car vProxy ne se connectera qu’au NetWorker qu’il a enregistré pour la première fois, ce qui signifie que :
- Un vProxy malveillant ne peut pas faire croire au serveur NW qu’il parle au vrai vProxy, car le certificat du faux vProxy ne correspondra pas à celui stocké dans nsrdb
- Un NetWorker malveillant ne peut pas faire croire à vProxy qu’il parle au vrai NetWorker, étant donné que ce faux NetWorker n’a pas le certificat d’origine dans sa configuration, vProxy rejettera la connexion.
Néanmoins, il n’y a pas d’implications en matière de sécurité car vProxy ne se connectera qu’au NetWorker qu’il a enregistré pour la première fois, ce qui signifie que :
- Un vProxy malveillant ne peut pas faire croire au serveur NW qu’il parle au vrai vProxy, car le certificat du faux vProxy ne correspondra pas à celui stocké dans nsrdb
- Un NetWorker malveillant ne peut pas faire croire à vProxy qu’il parle au vrai NetWorker, étant donné que ce faux NetWorker n’a pas le certificat d’origine dans sa configuration, vProxy rejettera la connexion.
Produits concernés
NetWorkerPropriétés de l’article
Numéro d’article: 000223117
Type d’article: Solution
Dernière modification: 15 mars 2024
Version: 1
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.