Avamar: Jak nahradit certifikát SSL podepsaný SHA-1 webového serveru Apache
Shrnutí: Avamar: Jak nahradit certifikát SSL podepsaný SHA-1 webového serveru Apache
Tento článek se vztahuje na
Tento článek se nevztahuje na
Tento článek není vázán na žádný konkrétní produkt.
V tomto článku nejsou uvedeny všechny verze produktu.
Příznaky
Při pokusu o připojení k uzlu NetWorker Virtual Edition (NVE), serveru Avamar nebo uzlu Avamar Extended Retention (AER) pomocí webového prohlížeče prohlížeč nahlásí chybu připojení k síti a odmítne se připojit, i když webový server Apache na uzlu NVE, serveru Avamar nebo uzlu AER funguje normálně.
Příčina
S účinností od 1. ledna 2017 ukončili hlavní dodavatelé webových prohlížečů podporu certifikátů SSL podepsaných pomocí algoritmu SHA-1. Některé výchozí certifikáty NVE, Avamar a AER jsou podepsány pomocí SHA-1.
Řešení
- Přihlaste se k uzlu utility Avamar nebo k serveru s jedním uzlem jako uživatel admin a poté spuštěním následujícího příkazu přepněte na uživatele root:
Su-
Poznámka: Koncovka - je důležitá!
Poznámka: Koncovka - je důležitá!
- Změňte adresáře do konfiguračního adresáře Apache:
cd /etc/apache2
- Ověřte, že je aktuální certifikát podepsán pomocí SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Podpis"
: sha1WithRSAEncryption
Algoritmus podpisu: sha1WithRSAEncryption
Poznámka: Není-li algoritmus podpisu hlášen jako SHA-1, nepokračujte v tomto postupu
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Podpis"
: sha1WithRSAEncryption
Algoritmus podpisu: sha1WithRSAEncryption
Poznámka: Není-li algoritmus podpisu hlášen jako SHA-1, nepokračujte v tomto postupu
- Zálohování stávajícího certifikátu:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'datum -I'
- Vygenerujte "požadavek na podpis certifikátu" ze stávajícího certifikátu:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Získání požadavku Soukromý klíč
Generování žádosti o certifikát
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Získání požadavku Soukromý klíč
Generování žádosti o certifikát
- Zkontrolujte, zda je certifikát podepsán držitelem nebo certifikační autoritou (podepsanou certifikační autoritou):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
Poznámka: Tento příkaz by měl být zadán na jednom řádku. Každá interpunkce je důležitá. Doporučuje se kopírovat a vkládat.
Ukázkový výstup pro certifikát podepsaný certifikační autoritou:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
CA Signed
Ukázkový výstup pro certifikát podepsaný svým držitelem:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
Podepsaný držitelem
Poznámka: Tento příkaz by měl být zadán na jednom řádku. Každá interpunkce je důležitá. Doporučuje se kopírovat a vkládat.
Ukázkový výstup pro certifikát podepsaný certifikační autoritou:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
CA Signed
Ukázkový výstup pro certifikát podepsaný svým držitelem:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
Podepsaný držitelem
- Vygenerujte a nainstalujte náhradní certifikát:
- Certifikáty podepsané certifikační autoritou:
- Poskytněte certifikační autoritě kopii žádosti o podpis certifikátu vygenerovaného v kroku 5 a požádejte ji o vygenerování náhradního certifikátu pomocí silného algoritmu podpisu. Požadavek na podpis certifikátu se nachází ve složce /etc/apache2/ssl.csr/server.csr
- Umístěte podepsaný certifikát poskytnutý certifikační autoritou na server Avamar do složky /etc/apache2/ssl.crt/server.crt
- Přeskočte krok 7b a pokračujte v postupu v kroku 8
- Certifikáty podepsané certifikační autoritou:
Poznámka: Pokud certifikační autorita poskytla aktualizované soubory řetězu certifikátů spolu s novým certifikátem, pokyny k jejich instalaci naleznete v Dodatku A.
- Certifikáty podepsané držitelem:
- Vygenerování a instalace náhradního certifikátu
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Podpis ok
subject =/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Podpis ok
subject =/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Ověřte, že je nový certifikát podepsán pomocí algoritmu SHA-256 nebo jiného silného algoritmu podpisu:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Signature"
: sha256WithRSAEnšifrovací
algoritmus podpisu: sha256WithRSAEnšifrování
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Signature"
: sha256WithRSAEnšifrovací
algoritmus podpisu: sha256WithRSAEnšifrování
- Restartujte webový server Apache:
Restartování
webových stránekUkázkový výstup:
root@avamar:/etc/apache2/#: restart
webu===Vypnutí webu Vypnutí httpd2
(čekání na ukončení všech potomků) hotovo
===Spuštění webu
Spuštění httpd2 (prefork)
webových stránekUkázkový výstup:
root@avamar:/etc/apache2/#: restart
webu===Vypnutí webu Vypnutí httpd2
(čekání na ukončení všech potomků) hotovo
===Spuštění webu
Spuštění httpd2 (prefork)
- Řízení je dokončeno
Další informace
Dodatek A – Instalace aktualizovaných souborů(ů) řetězu certifikátů
- Vytvoření kopie existujícího řetězu certifikátů
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'datum -I'
- Instalace aktualizovaných souborů řetězu certifikátů
- Pokud certifikační autorita poskytla samostatné zprostředkující certifikáty, zkombinujte je do jednoho řetězového souboru:
Cat Cert1 Cert2 Cert3 Cert4 > /etc/apache2/ssl.crt/ca.crt
- V opačném případě umístěte jeden řetězový soubor poskytnutý certifikační autoritou na server Avamar do umístění /etc/apache2/ssl.crt/ca.crt
Dotčené produkty
AvamarProdukty
AvamarVlastnosti článku
Číslo článku: 000170753
Typ článku: Solution
Poslední úprava: 13 Jan 2026
Verze: 5
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.