Avamar: Kuinka korvata Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne

Summary: Tässä artikkelissa kerrotaan, miten Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne korvataan.

Αυτό το άρθρο ισχύει για Αυτό το άρθρο δεν ισχύει για Αυτό το άρθρο δεν συνδέεται με κάποιο συγκεκριμένο προϊόν. Δεν προσδιορίζονται όλες οι εκδόσεις προϊόντων σε αυτό το άρθρο.
Δείτε άλλους πόρους

Symptoms

Kun yrität muodostaa verkkoselaimella yhteyden NetWorker Virtual Edition (NVE)-, Avamar-palvelimeen tai Avamar Extended Retention (AER) -solmuun, selain ilmoittaa verkkoyhteysvirheestä eikä pysty muodostamaan yhteyttä, vaikka NVE-, Avamar- tai AER-solmun Apache-verkkopalvelin toimii normaalisti.

 

Cause

Suurimmat verkkoselaintoimittajat ovat lopettaneet SHA-1:llä allekirjoitettujen SSL-varmenteiden tuen 1.1.2017 alkaen. Tietyt NVE-, Avamar- ja AER-oletusvarmenteet allekirjoitetaan SHA-1:llä.

 

Resolution

  1. Kirjaudu Avamar Utility Nodeen tai Single Node -palvelimeen admin-käyttäjänä ja vaihda root-käyttäjäksi suorittamalla seuraava komento:

    su -
    Huomautus: Perässä - on tärkeää!

  2. Vaihda hakemistot Apache-määrityshakemistoon:

    cd /etc/apache2

  3. Varmista, että nykyinen varmenne on allekirjoitettu SHA-1:llä:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Huomautus: Jos allekirjoitusalgoritmiksi ei ilmoiteta SHA-1:tä, älä jatka tätä toimenpidettä

  4. Varmuuskopioi olemassa oleva varmenne:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Luo "varmenteen allekirjoituspyyntö" olemassa olevasta varmenteesta:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Tarkista, onko varmenne itse allekirjoitettu vai varmenteen myöntäjän allekirjoittama (CA-allekirjoitettu):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Huomautus: Tämä komento on annettava yhdelle riville. Kaikki välimerkit ovat tärkeitä. On suositeltavaa kopioida ja liittää.

    Myöntäjän allekirjoittaman varmenteen näytetulos:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Esimerkki itse allekirjoitetun varmenteen tuloksesta:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Luo ja asenna vaihtovarmenne:

    1. CA-allekirjoitetut varmenteet:
      1. Anna varmenteen myöntäjälle kopio vaiheessa 5 luodusta varmenteen allekirjoituspyynnöstä ja pyydä, että se luo korvaavan varmenteen vahvaa allekirjoitusalgoritmia käyttäen. Varmenteen allekirjoituspyyntö sijaitsee osoitteessa "/etc/apache2/ssl.csr/server.csr"
      2. Aseta varmenteiden myöntäjän antama allekirjoitettu varmenne Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/server.crt
      3. Ohita vaihe 7b ja jatka vaiheen 8 menettelyä
      Huomautus: Jos varmenteiden myöntäjä toimitti uuden varmenteen mukana yhden tai useamman päivitetyn varmenneketjutiedoston, katso asennusohjeet liitteestä A.
    2. Itse allekirjoitetut varmenteet:
      1. Luo ja asenna korvaava varmenne 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Esimerkkitulos: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Varmista, että uusi varmenne on allekirjoitettu SHA-256:lla tai muulla vahvalla allekirjoitusalgoritmilla:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Käynnistä Apache-verkkopalvelin uudelleen:

    website restart

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Menettely valmis

 

Additional Information

Liite A - Päivitetyn vähintään yhden varmenneketjutiedoston asentaminen

  1. Kopion luominen olemassa olevasta varmenneketjusta

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Asenna yksi tai useampi päivitetty varmenneketjutiedosto
    1. Jos varmentaja on toimittanut erillisiä välivarmenteita, yhdistä ne yhdeksi ketjutiedostoksi: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Muussa tapauksessa aseta varmentajan toimittama yksiketjuinen tiedosto Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/ca.crt

 

Επηρεαζόμενα προϊόντα

Avamar

Προϊόντα

Avamar
Ιδιότητες άρθρου
Article Number: 000170753
Article Type: Solution
Τελευταία τροποποίηση: 13 Ιαν 2026
Version:  5
Βρείτε απαντήσεις στις ερωτήσεις σας από άλλους χρήστες της Dell
Υπηρεσίες υποστήριξης
Ελέγξτε αν η συσκευή σας καλύπτεται από τις Υπηρεσίες υποστήριξης.