VNX: Ändern der SHA1-Hashalgorithmen auf die stärkere Authentifizierung durch Zertifikat, SHA256-Hashalgorithmen auf einer Control Station für CVE-2004-2761
Resumo: Ändern der SHA1-Hashalgorithmen auf die stärkere Authentifizierung durch Zertifikat, SHA256-Hashalgorithmen auf einer Control Station für CVE-2004-2761
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
Das Zertifikat muss zu einem stärkeren Hash-Algorithmus für die Authentifizierung geändert werden, SHA256-Hash-Algorithmus
Nessus-Scanner erkennt CVE-2004-2761
Nessus-Ausgabe: Schnittstelle: 5989/TCP
Die folgenden Zertifikate waren Teil der Zertifikatkette, die vom Remotehost gesendet wurde, enthalten aber Hashes, die als schwach angesehen werden.
|-Betreff: O=VNX Control Station Administrator/CN=10.20.30.40/CN=VNX5300/CN=VNX5300.mydomain.net
|-Signaturalgorithmus: SHA-1 mit RSA-Verschlüsselung
|-Gültig ab: Jul 28 17:52:32 2014 GMT
|-Gültig bis : Aug 03 17:52:33 2019 GMT
Das Zertifikat muss für die Authentifizierung auf einen stärkeren Hash-Algorithmus geändert werden, SHA256-Hash-Algorithmus
Nessus-Scanner erkennt CVE-2004-2761
Nessus-Ausgabe: Schnittstelle: 5989/TCP
Die folgenden Zertifikate waren Teil der Zertifikatkette, die vom Remotehost gesendet wurde, enthalten aber Hashes, die als schwach angesehen werden.
|-Betreff: O=VNX Control Station Administrator/CN=10.20.30.40/CN=VNX5300/CN=VNX5300.mydomain.net
|-Signaturalgorithmus: SHA-1 mit RSA-Verschlüsselung
|-Gültig ab: Jul 28 17:52:32 2014 GMT
|-Gültig bis : Aug 03 17:52:33 2019 GMT
Das Zertifikat muss für die Authentifizierung auf einen stärkeren Hash-Algorithmus geändert werden, SHA256-Hash-Algorithmus
Causa
Unzutreffend
Resolução
To see the current settings:
[root@ CA]# openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
To view the options:
[root@CA]# openssl dgst -?
unknown option '-?'
options are
-c to output the digest with separating colons
-d to output debug info
-hex output as hex dump
-binary output in binary form
-sign file sign digest using private key in file
-verify file verify a signature using public key in file
-prverify file verify a signature using private key in file
-keyform arg key file format (PEM or ENGINE)
-signature file signature to verify
-binary output in binary form
-engine e use engine e, possibly a hardware device.
-md5 to use the md5 message digest algorithm (default)
-md4 to use the md4 message digest algorithm
-md2 to use the md2 message digest algorithm
-sha1 to use the sha1 message digest algorithm
-sha to use the sha message digest algorithm
-sha224 to use the sha224 message digest algorithm
-sha256 to use the sha256 message digest algorithm
-sha384 to use the sha384 message digest algorithm
-sha512 to use the sha512 message digest algorithm
-ripemd160 to use the ripemd160 message digest algorithm
[root@CA]#
To change the setting, vi /nas/site/CA/ca.cnf and change defaulf_md = sha1 to sha256.
>>>>>>As a precaution, you can save a copy first to /home/nasadmin:<<<<<<<<
[root@CA]# cp -p /nas/site/CA/ca.cnf /home/nasadmin/
[root@CA]# vi /nas/site/CA/ca.cnf
Example before the change:
[ CA_default ]
dir = /nas/site/CA
database = $dir/index.txt
new_certs_dir = /tmp
certificate = $dir/ca_certificate.pem
serial = $dir/serial
private_key = $dir/key.pem
default_days = 1825
default_md = sha1 <<<<<<<<<<<<<< This is the parameter to change to sha256
Example with the change:
[ CA_default ]
dir = /nas/site/CA
database = $dir/index.txt
new_certs_dir = /tmp
certificate = $dir/ca_certificate.pem
serial = $dir/serial
private_key = $dir/key.pem
default_days = 1825
default_md = sha256 <<<<<<<<<<<<< After the change - the parameter should be this
After that, as root, please run the following command to generate new key/cert and restart the Apache/CIM all at once to apply the change:
[root@CA]# /nas/http/nas_ezadm/bin/gen_ssl_cert.pl
To verify the signature on the certificate, re-run the openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature command:
[root@ CA]# openssl x509 -in /nas/http/conf/current.crt -text | grep -i signature
Signature Algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
Mais informações
SHA steht für Secure Hash Algorithm und ist ein Hash-Algorithmus, der von Zertifizierungsstellen zum Signieren von Zertifikaten und CRL (Certificates Revocation List) verwendet wird.
Der SHA256-Hash-Algorithmus greift nicht in den Verschlüsselungs-/Authentifizierungsprozess ein, aber Tools (Browser, E-Mail-Clients, Server...) müssen in der Lage sein, diese Art von Hash während des Verbindungs- / Authentifizierungsprozesses zu lesen / zu entschlüsseln.
Der SHA256-Hash-Algorithmus greift nicht in den Verschlüsselungs-/Authentifizierungsprozess ein, aber Tools (Browser, E-Mail-Clients, Server...) müssen in der Lage sein, diese Art von Hash während des Verbindungs- / Authentifizierungsprozesses zu lesen / zu entschlüsseln.
Produtos afetados
VNX1 SeriesPropriedades do artigo
Número do artigo: 000102888
Tipo de artigo: Solution
Último modificado: 30 jul. 2021
Versão: 4
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.