Avamar: Kuinka korvata Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne

Summary: Tässä artikkelissa kerrotaan, miten Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne korvataan.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Kun yrität muodostaa verkkoselaimella yhteyden NetWorker Virtual Edition (NVE)-, Avamar-palvelimeen tai Avamar Extended Retention (AER) -solmuun, selain ilmoittaa verkkoyhteysvirheestä eikä pysty muodostamaan yhteyttä, vaikka NVE-, Avamar- tai AER-solmun Apache-verkkopalvelin toimii normaalisti.

 

Cause

Suurimmat verkkoselaintoimittajat ovat lopettaneet SHA-1:llä allekirjoitettujen SSL-varmenteiden tuen 1.1.2017 alkaen. Tietyt NVE-, Avamar- ja AER-oletusvarmenteet allekirjoitetaan SHA-1:llä.

 

Resolution

  1. Kirjaudu Avamar Utility Nodeen tai Single Node -palvelimeen admin-käyttäjänä ja vaihda root-käyttäjäksi suorittamalla seuraava komento:

    su -
    Huomautus: Perässä - on tärkeää!

  2. Vaihda hakemistot Apache-määrityshakemistoon:

    cd /etc/apache2

  3. Varmista, että nykyinen varmenne on allekirjoitettu SHA-1:llä:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Huomautus: Jos allekirjoitusalgoritmiksi ei ilmoiteta SHA-1:tä, älä jatka tätä toimenpidettä

  4. Varmuuskopioi olemassa oleva varmenne:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Luo "varmenteen allekirjoituspyyntö" olemassa olevasta varmenteesta:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Tarkista, onko varmenne itse allekirjoitettu vai varmenteen myöntäjän allekirjoittama (CA-allekirjoitettu):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Huomautus: Tämä komento on annettava yhdelle riville. Kaikki välimerkit ovat tärkeitä. On suositeltavaa kopioida ja liittää.

    Myöntäjän allekirjoittaman varmenteen näytetulos:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Esimerkki itse allekirjoitetun varmenteen tuloksesta:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Luo ja asenna vaihtovarmenne:

    1. CA-allekirjoitetut varmenteet:
      1. Anna varmenteen myöntäjälle kopio vaiheessa 5 luodusta varmenteen allekirjoituspyynnöstä ja pyydä, että se luo korvaavan varmenteen vahvaa allekirjoitusalgoritmia käyttäen. Varmenteen allekirjoituspyyntö sijaitsee osoitteessa "/etc/apache2/ssl.csr/server.csr"
      2. Aseta varmenteiden myöntäjän antama allekirjoitettu varmenne Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/server.crt
      3. Ohita vaihe 7b ja jatka vaiheen 8 menettelyä
      Huomautus: Jos varmenteiden myöntäjä toimitti uuden varmenteen mukana yhden tai useamman päivitetyn varmenneketjutiedoston, katso asennusohjeet liitteestä A.
    2. Itse allekirjoitetut varmenteet:
      1. Luo ja asenna korvaava varmenne 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Esimerkkitulos: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Varmista, että uusi varmenne on allekirjoitettu SHA-256:lla tai muulla vahvalla allekirjoitusalgoritmilla:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Käynnistä Apache-verkkopalvelin uudelleen:

    website restart

    Esimerkkitulos:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Menettely valmis

 

Additional Information

Liite A - Päivitetyn vähintään yhden varmenneketjutiedoston asentaminen

  1. Kopion luominen olemassa olevasta varmenneketjusta

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Asenna yksi tai useampi päivitetty varmenneketjutiedosto
    1. Jos varmentaja on toimittanut erillisiä välivarmenteita, yhdistä ne yhdeksi ketjutiedostoksi: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Muussa tapauksessa aseta varmentajan toimittama yksiketjuinen tiedosto Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/ca.crt

 

Affected Products

Avamar

Products

Avamar
Article Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 13 Jan 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.