Avamar: Sådan udskiftes Apache Web Server SHA-1-signeret SSL-certifikat
Oversigt: Avamar: Sådan udskiftes Apache Web Server SHA-1-signeret SSL-certifikat
Denne artikel gælder for
Denne artikel gælder ikke for
Denne artikel er ikke knyttet til et bestemt produkt.
Det er ikke alle produktversioner, der er identificeret i denne artikel.
Symptomer
Når du forsøger at oprette forbindelse til NetWorker Virtual Edition (NVE), Avamar-serveren eller Avamar Extended Retention (AER)-noden ved hjælp af en webbrowser, rapporterer browseren en netværksforbindelsesfejl og nægter at oprette forbindelse, selvom Apache-webserveren på NVE-, Avamar-serveren eller AER-noden fungerer normalt.
Årsag
Understøttelse af SSL-certifikater, der er signeret ved hjælp af SHA-1, er blevet opsagt af de store webbrowserleverandører med virkning fra 1. januar 2017. Visse standard NVE-, Avamar- og AER-certifikater er signeret ved hjælp af SHA-1.
Løsning
- Log på Avamar-hjælpeprogramnoden eller serveren med en enkelt node som administratorbruger, og kør derefter følgende kommando for at skifte til rod:
Su-
Seddel: Den efterfølgende - er vigtig!
Seddel: Den efterfølgende - er vigtig!
- Skift mapper i Apache-konfigurationsmappen:
cd /etc/apache2
- Bekræft, at det aktuelle certifikat er signeret ved hjælp af SHA-1:
openssl x509 -i ssl.crt/server.crt -text -noout | grep "Signatur"
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha1WithRSAEncryption
Signaturalgoritme: sha1WithRSAEncryption
Bemærk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, skal du ikke fortsætte med denne procedure
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha1WithRSAEncryption
Signaturalgoritme: sha1WithRSAEncryption
Bemærk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, skal du ikke fortsætte med denne procedure
- Sikkerhedskopier det eksisterende certifikat:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'dato -I'
- Generer en "anmodning om certifikatsignering" fra det eksisterende certifikat:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -ud ssl.csr/server.csr
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Modtagelse af anmodning Privat nøgle
Generering af certifikatanmodning
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Modtagelse af anmodning Privat nøgle
Generering af certifikatanmodning
- Kontrollér, om certifikatet er selvsigneret eller signeret af et nøglecenter (CA-signeret):
[ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || echo "CA underskrevet"
Bemærk: Denne kommando skal indtastes på en enkelt linje. Al tegnsætning er vigtig. Det anbefales at kopiere og indsætte.
Eksempel på output for et CA-signeret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || echo "CA Signed"
CA Signed
Sample output for et selvsigneret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || ekko "CA underskrevet"
Selvsigneret
Bemærk: Denne kommando skal indtastes på en enkelt linje. Al tegnsætning er vigtig. Det anbefales at kopiere og indsætte.
Eksempel på output for et CA-signeret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || echo "CA Signed"
CA Signed
Sample output for et selvsigneret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || ekko "CA underskrevet"
Selvsigneret
- Generer og installer erstatningscertifikatet:
- For CA-signerede certifikater:
- Giv en kopi af anmodningen om certifikatsignering, der blev genereret i trin 5, til nøglecenteret, og anmod om, at de genererer et erstatningscertifikat ved hjælp af en stærk signaturalgoritme. Anmodningen om certifikatsignering findes på /etc/apache2/ssl.csr/server.csr
- Placer det underskrevne certifikat, der leveres af nøglecenteret, på Avamar-serveren i /etc/apache2/ssl.crt/server.crt
- Spring trin 7b over, og fortsæt proceduren i trin 8
- For CA-signerede certifikater:
Bemærk: Hvis nøglecenteret leverede opdaterede certifikatkædefil(er) sammen med det nye certifikat, skal du se tillæg A for instruktioner om, hvordan du installerer disse.
- For selvsignerede certifikater:
- Oprette og installere et erstatningscertifikat
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -dage 1825
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Bekræft, at det nye certifikat er signeret ved hjælp af SHA-256 eller en anden stærk signaturalgoritme:
openssl x509 -i ssl.crt/server.crt -text -noout | grep "Signatur"
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha256WithRSAEncryption
Signaturalgoritme: sha256WithRSAEncryption
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha256WithRSAEncryption
Signaturalgoritme: sha256WithRSAEncryption
- Genstart Apache-webserveren:
Genstart af
hjemmesidenEksempel på output:
root@avamar: / etc / apache2 / #: hjemmeside genstart
=== Lukning af websted
Lukning httpd2 (venter på, at alle børn afsluttes) færdig
=== Start af websted
Start httpd2 (prefork)
hjemmesidenEksempel på output:
root@avamar: / etc / apache2 / #: hjemmeside genstart
=== Lukning af websted
Lukning httpd2 (venter på, at alle børn afsluttes) færdig
=== Start af websted
Start httpd2 (prefork)
- Proceduren er fuldført
Flere oplysninger
Appendiks A - Installation af opdaterede certifikatkædefil(er)
- Oprette en kopi af den eksisterende certifikatkæde
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installer opdaterede certifikatkædefil(er)
- Hvis nøglecenteret har leveret separate mellemliggende certifikater, kombineres de i en enkelt kædefil:
Cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Ellers skal du placere den enkeltkædede fil, der leveres af nøglecenteret, på Avamar-serveren i /etc/apache2/ssl.crt/ca.crt
Berørte produkter
AvamarProdukter
AvamarArtikelegenskaber
Artikelnummer: 000170753
Artikeltype: Solution
Senest ændret: 13 jan. 2026
Version: 5
Find svar på dine spørgsmål fra andre Dell-brugere
Supportservices
Kontrollér, om din enhed er dækket af supportservices.