PowerProtect:DP 和 IDPA:安全扫描检测到 ACM X.509 证书主题 CN 与实体名称不匹配

摘要: PowerProtect 数据保护一体机和融合备份一体机 (IDPA):安全漏洞扫描检测到 ACM SSL 证书的主题通用名称 (CN) 与主机名不匹配。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

注意:此过程不适用于启用了联邦信息处理标准 (FIPS) 的设备,为启用 FIPS 的过程向 IDPA 工程团队提交 JIRA 票证。

对于 2.7.7 或低于 2.7.7 的所有 IDPA 版本,在 Appliance Configuration Manager (ACM) 上可以检测到以下漏洞:
 
漏洞标题 CVSS2 分数 组件 漏洞证明 端口 协议 建议
X.509 证书主题 CN 与实体名称不匹配。 7.1 ACM 在 X.509 证书中找到的主题公用名称与扫描目标不匹配:主题 CN localhost.localdom 与网站上指定的域名系统 (DNS) 名称不匹配。无法通过 DNS 查找将主题 CN localhost.localdom解析为 IP 地址。 8543 TCP 修复证书中主题的公用名 (CN) 字段。


原因

默认 ACM 自签名 SSL 证书的通用名称 (CN) 设置为 localhost.localdom。在 ACM Web 界面端口 8543 中证书显示 CN 信息,如下所示:


默认 ACM 证书显示 CN = localhost.localdom。图 1:默认 ACM 证书显示默认 CN 为 localhost.localdom。

此外,还可以从命令行输出中找到相同的信息: 
# echo -n | openssl s_client -showcerts -connect localhost:8543
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = EMC, OU = Avamar, CN = localhost.localdom
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = EMC, OU = Avamar, CN = localhost.localdom
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=EMC/OU=Avamar/CN=localhost.localdom
   i:/C=US/ST=California/L=Irvine/O=EMC/OU=Avamar/CN=localhost.localdom

--- skipped the remaining part ---

解决方案

注意:如果 ACM 使用 CA 签名的证书,请勿运行此过程。
 
提醒:如果在 IDPA 软件升级期间部署了新的 ACM 虚拟机,请再次应用相同的解决方法。 
 
提醒:此问题的修复程序已添加到 goidpa 工具中,请按照以下知识库文章安装 goidpa:
PowerProtect 数据保护一体机:GoIDPA 工具
然后在 ACM 上运行以下命令: 
./goidpa appliance cert-fix

 

以下是手动过程(如果自动 goidpa 修复不起作用)。


以下是为 ACM:

1 生成新的自签名证书的过程。以 root 用户

身份通过 SSH 连接到 ACM 2。将目录切换到 /tmp:

cd /tmp


3.下载本文所附的脚本,并将其上传到 ACM 的 /tmp 目录。

4.从.zip文件中解压脚本文件:

unzip KB000227601_ACM_cert_with_entity_name_as_hostname_csp_en_US_1.zip


5.将脚本文件权限更改为 755:

chmod 755 KB000227601_ACM_cert_with_entity_name_as_hostname.sh


6.运行脚本以替换 ACM 证书:

./KB000227601_ACM_cert_with_entity_name_as_hostname.sh


7.登录到 ACM Web 用户界面以验证它是否成功启动。

下面是一个示例:

在运行解决方法之前,ACM 证书的 CN 设置为“localhost.localdom”:
在命令行中,它显示 ACM 默认证书的 CN = localhost.localdom
图 2:在命令行中,它显示 ACM 证书的默认 CN 为 localhost.localdom。

该实验室机器中的运行和结果示例:
如何使用提供的脚本生成新的自签名证书的示例。
图 3:如何使用提供的脚本生成新的自签名证书的示例。

证书的 CN 与计算机名称匹配。
图 4:证书的 CN 与计算机名称匹配。 

 
 

其他信息

如果在应用脚本以重新生成新的 ACM 证书后,ACM UI 无法启动。

运行脚本更新证书后,ACM UI 无法启动。
图 5:运行脚本更新证书后,ACM UI 无法启动。

在dataprotection_webapp状态中,发现以下JAVA_HOME环境错误:

idpa-acm:~ # systemctl status dataprotection_webapp
● dataprotection_webapp.service - SYSV: Apache Tomcat init script
   Loaded: loaded (/etc/init.d/dataprotection_webapp; bad; vendor preset: disabled)
   Active: active (exited) since Tue 2024-09-17 14:16:08 AEST; 1min 47s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 23102 ExecStop=/etc/init.d/dataprotection_webapp stop (code=exited, status=0/SUCCESS)
  Process: 23271 ExecStart=/etc/init.d/dataprotection_webapp start (code=exited, status=0/SUCCESS)

Sep 17 14:16:07 idpa-acm systemd[1]: Starting SYSV: Apache Tomcat init script...
Sep 17 14:16:08 idpa-acm dataprotection_webapp[23271]: Starting tomcat
Sep 17 14:16:08 idpa-acm su[23298]: (to idpauser) root on none
Sep 17 14:16:08 idpa-acm su[23298]: pam_unix(su:session): session opened for user idpauser by (uid=0)
Sep 17 14:16:08 idpa-acm dataprotection_webapp[23271]: The JAVA_HOME environment variable is not defined correctly
Sep 17 14:16:08 idpa-acm dataprotection_webapp[23271]: JAVA_HOME=/usr/lib64/jvm/jre-11-openjdk
Sep 17 14:16:08 idpa-acm dataprotection_webapp[23271]: This environment variable is needed to run this program
Sep 17 14:16:08 idpa-acm dataprotection_webapp[23271]: NB: JAVA_HOME should point to a JDK not a JRE
Sep 17 14:16:08 idpa-acm dataprotection_webapp[23271]: Tomcat is not running
Sep 17 14:16:08 idpa-acm systemd[1]: Started SYSV: Apache Tomcat init script.
idpa-acm:~ #

此问题是在 /etc/环境中设置 JAVA_HOME 参数时导致的:

idpa-acm:/ # cat /etc/environment
#
# This file is parsed by pam_env module
#
# Syntax: simple "KEY=VAL" pairs on seperate lines
#
JAVA_HOME=/usr/lib64/jvm/jre-11-openjdk
idpa-acm:/ #


解决方法是:

1.删除 JAVA_HOME 参数。 /etc/environment

idpa-acm:/ # cat /etc/environment
#
# This file is parsed by pam_env module
#
# Syntax: simple "KEY=VAL" pairs on seperate lines
#
idpa-acm:/ #


2.重新启动 dataprotection_webapp 服务管理所有 jukebox 操作。

idpa-acm:/ # systemctl restart dataprotection_webapp
idpa-acm:/ # systemctl status dataprotection_webapp
● dataprotection_webapp.service - SYSV: Apache Tomcat init script
   Loaded: loaded (/etc/init.d/dataprotection_webapp; bad; vendor preset: disabled)
   Active: active (exited) since Tue 2024-09-17 14:31:19 AEST; 7s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 24185 ExecStop=/etc/init.d/dataprotection_webapp stop (code=exited, status=0/SUCCESS)
  Process: 24194 ExecStart=/etc/init.d/dataprotection_webapp start (code=exited, status=0/SUCCESS)

Sep 17 14:31:18 idpa-acm systemd[1]: Starting SYSV: Apache Tomcat init script...
Sep 17 14:31:18 idpa-acm dataprotection_webapp[24194]: rm: cannot remove '/usr/local/dataprotection/tomcat/work/Catalina': No such file or directory
Sep 17 14:31:18 idpa-acm dataprotection_webapp[24194]: rm: cannot remove '/usr/local/dataprotection/tomcat/webapps/dataprotection': No such file or directory
Sep 17 14:31:18 idpa-acm dataprotection_webapp[24194]: Starting tomcat
Sep 17 14:31:18 idpa-acm su[24213]: (to idpauser) root on none
Sep 17 14:31:18 idpa-acm su[24213]: pam_unix(su:session): session opened for user idpauser by (uid=0)
Sep 17 14:31:18 idpa-acm dataprotection_webapp[24194]: Tomcat started.
Sep 17 14:31:19 idpa-acm dataprotection_webapp[24194]: Tomcat is running with pid: 24225
Sep 17 14:31:19 idpa-acm systemd[1]: Started SYSV: Apache Tomcat init script.
idpa-acm:/ #

然后,ACM UI 应恢复正常。

ACM UI 服务恢复正常。
图 6:ACM UI 服务恢复正常。


对于在 Avamar 端口 9443 上检测到的相同漏洞:

在所有 IDPA 2.7.7 或低于 2.7.7 的版本中,都可以在 Avamar 上检测到以下漏洞:
 

漏洞标题 CVSS2 分数 组件 漏洞证明 端口 协议 建议
X.509 证书主题 CN 与实体名称不匹配。 7.1 Avamar 在 X.509 证书中找到的主题公用名称与扫描目标不匹配:主题 CN 管理员与站点上指定的 DNS 名称不匹配。 9443 TCP 修复证书中主题的公用名 (CN) 字段。


解决方案可在 PowerProtect 中找到:DP 系列和 IDPA:针对 Avamar Server 端口 9443 的“X.509 证书主题 CN 与实体名称不匹配”漏洞


对于在 Avamar 代理上检测到的端口 443 和 5480 的相同漏洞:

对于所有 IDPA 版本低于 2.7.6 的 Avamar Proxy,都可以检测到以下漏洞:
 

漏洞标题 CVSS2 分数 组件 漏洞证明 端口 协议 建议
X.509 证书主题 CN 与实体名称不匹配。 7.1 Avamar 代理 在 X.509 证书中找到的主题公用名称与扫描目标不匹配:主题 CN 管理员与站点上指定的 DNS 名称不匹配。 5480 / 443 TCP 修复证书中主题的公用名 (CN) 字段。


此问题已在 Avamar 代理版本 19.10 中得到解决。升级到 IDPA 版本 2.7.7,其中包括 Avamar 版本 19.10。

有关 IDPA 2.7.6 或更低版本的解决方法,请参阅 Dell Avamar for VMware 19.9 用户指南。该过程位于“在 Avamar VMware Image Backup Proxy 中导入自定义证书”部分下。还有 Avamar:如何更换 Avamar VMware Image Backup Proxy 的证书(需要在戴尔支持门户上进行身份验证)。 
 

受影响的产品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文章属性
文章编号: 000227601
文章类型: Solution
上次修改时间: 29 10月 2025
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。