セキュリティ スキャンには次の情報が表示されます。証明書トラスト ストア(Java)でデフォルトまたは脆弱なパスワードの詳細が使用される

Bladelogicによって提供されるセキュリティ スキャンでは、Data Protection Advisorアプリケーション サーバーについて次の情報が報告されました。

Certificate Trust Store (Java) Uses Default or Weak Password Details: Directory Permissions: -rwxrwxr-x Directory Owner: apollosuperuser Directory Owner Group: dpaservices
Technical Detail: /app/emc/dpa/services/_jre/lib/security/cacerts

cacertsトラスト ストアのパスワードは、デフォルトのパスワードを使用していたため、十分に強力ではありませんでした。

より強力なパスワードを取得するために、cacertsトラストストアとそのエイリアス パスワードの両方を次の手順で変更しました。

アプリケーションサーバで、次の操作を行います。

1. cd "C:\Program Files\EMC\DPA\services_jre\bin"

2. 次のコマンドを使用して、cacertsトラスト ストアのパスワードを変更します。

   keytool.exe -storepasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts"

   注：古いパスワードは「changeit」です。プロンプトが表示されたら、新しいパスワードを入力します。

3. C:\Program Files\EMC\DPA\services_jre\lib\security\java.securityファイルの末尾に、新しいパスワードを含む次の新しい行を追加します。

   javax.net.ssl.trustStorePassword=<new password>

4. 次のコマンドを使用して、新しいcacertsエイリアス パスワードを変更します。

   keytool.exe -keypasswd -keystore "C:\Program Files\EMC\DPA\services_jre\lib\security\cacerts" -storepass PASSWORD -alias <cacerts alias> -keypass changeit -new PASSWORD

   ここで、PASSWORDは手順2で作成した新しいパスワードです。

5. DPAアプリケーションを再起動します。

セキュリティを強化するために、cacertsファイルの権限も444に変更されました。

これらの変更の後、セキュリティ スキャン ソフトウェアはセキュリティ アラートを検出しなくなりました

cacertsは、DPAが通常使用するキーストア(apollo.keystore)ではなく、/opt/emc/dpa/services/standalone/configurationにあります。代わりに、cacertsは、信頼できる認証局(CA)証明書のコレクションを含む別個のトラスト ストア(キーストア)です。Oracleには、Java™ Secure Socket Extension (JSSE)ツール・キットおよびJDKにSSLサポートを備えたcacertsファイルが含まれています。

現在の自己署名証明書の場合、DPAはトラスト ストアに依存しません。ただし、リモート エンドポイント(ESRS、バックアップ アプリケーション、データベース)にアクセスする際にこのトラスト ストアを使用できるサード パーティが他にも存在する可能性があります。リモート アプリケーションの証明書がCAによって署名されている場合は、このトラスト ストアで検証されます。