Avamar: Slik erstatter du Apache Web Server SHA-1-signert SSL-sertifikat

Summary: Denne artikkelen forklarer hvordan du erstatter Apache Web Server SHA-1-signert SSL-sertifikat.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Når du prøver å koble til NetWorker Virtual Edition (NVE), Avamar-serveren eller Avamar Extended Retention-noden (AER) ved hjelp av en nettleser, rapporterer nettleseren en feil på nettverkstilkoblingen og avviser å koble til selv om Apache-webserveren på NVE-, Avamar- eller AER-noden fungerer normalt.

 

Cause

Støtte for SSL-sertifikater signert med SHA-1 er avsluttet av de store nettleserleverandørene med virkning fra 1. januar 2017. Enkelte standard NVE-, Avamar- og AER-sertifikater er signert med SHA-1.

 

Resolution

  1. Logg på Avamar-verktøynoden eller enkeltnodeserveren som administratorbruker, og kjør deretter følgende kommando for å bytte til rot:

    su -
    Merk: Den etterfølgende - er viktig!

  2. Endre katalogene i Apache-konfigurasjonskatalogen:

    cd /etc/apache2

  3. Bekreft at gjeldende sertifikat er signert med SHA-1:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Eksempel på utdata:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Merk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, må du ikke fortsette med denne fremgangsmåten

  4. Sikkerhetskopier det eksisterende sertifikatet:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Generer en "forespørsel om sertifikatsignering" fra det eksisterende sertifikatet:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Eksempel på utdata:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Sjekk om sertifikatet er selvsignert eller signert av en sertifiseringsinstans (CA-signert):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Merk: Denne kommandoen skal legges inn på en enkelt linje. All tegnsetting er viktig. Det anbefales å kopiere og lime inn.

    Eksempel på utdata for et CA-signert sertifikat:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Eksempel på utdata for et selvsignert sertifikat:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Generer og installer erstatningssertifikatet:

    1. For CA-signerte sertifikater:
      1. Gi en kopi av forespørselen om sertifikatsignering som ble generert i trinn 5, til sertifiseringsinstansen, og be om at de genererer et erstatningssertifikat ved hjelp av en sterk signaturalgoritme. Du finner forespørselen om sertifikatsignering på "/etc/apache2/ssl.csr/server.csr"
      2. Plasser det signerte sertifikatet fra sertifiseringsinstansen på Avamar-serveren i "/etc/apache2/ssl.crt/server.crt"
      3. Hopp over trinn 7b, og fortsett prosedyren i trinn 8
      Merk: Hvis sertifiseringsinstansen leverte én eller flere oppdaterte sertifikatkjedefiler sammen med det nye sertifikatet, kan du se vedlegg A for instruksjoner om hvordan du installerer disse.
    2. For selvsignerte sertifikater:
      1. Generere og installere et erstatningssertifikat 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Eksempel på utdata: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Bekreft at det nye sertifikatet er signert med SHA-256 eller en annen sterk signaturalgoritme:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Eksempel på utdata:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Start Apache-webserveren på nytt:

    website restart

    Eksempel på utdata:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Prosedyren er fullført

 

Additional Information

Vedlegg A - Installere oppdatert én eller flere sertifikatkjedefiler

  1. Opprette en kopi av den eksisterende sertifikatkjeden

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Installere én eller flere oppdaterte sertifikatkjedefiler
    1. Hvis sertifiseringsinstansen har gitt separate mellomliggende sertifikater, kan du kombinere dem til én enkelt kjedefil: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Hvis ikke, plasserer du enkeltkjedefilen fra sertifiseringsinstansen på Avamar-serveren i "/etc/apache2/ssl.crt/ca.crt"

 

Affected Products

Avamar

Products

Avamar
Article Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 13 Jan 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.