Avamar: Jak nahradit certifikát SSL podepsaný SHA-1 webového serveru Apache

Při pokusu o připojení k uzlu NetWorker Virtual Edition (NVE), serveru Avamar nebo uzlu Avamar Extended Retention (AER) pomocí webového prohlížeče prohlížeč nahlásí chybu připojení k síti a odmítne se připojit, i když webový server Apache na uzlu NVE, serveru Avamar nebo uzlu AER funguje normálně.

S účinností od 1. ledna 2017 ukončili hlavní dodavatelé webových prohlížečů podporu certifikátů SSL podepsaných pomocí algoritmu SHA-1. Některé výchozí certifikáty NVE, Avamar a AER jsou podepsány pomocí SHA-1.

1. Přihlaste se k uzlu nástroje Avamar nebo k serveru s jedním uzlem jako uživatel admin a poté spuštěním následujícího příkazu přepněte na uživatele root:

   su -

   Poznámka: Koncovka - je důležitá!

2. Změňte adresáře na konfigurační adresář Apache:

   cd /etc/apache2

3. Ověřte, že je aktuální certifikát podepsán pomocí SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Ukázkový výstup:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Poznámka: Není-li algoritmus podpisu hlášen jako SHA-1, nepokračujte v tomto postupu

4. Zálohování stávajícího certifikátu:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Vygenerujte "požadavek na podpis certifikátu" ze stávajícího certifikátu:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Ukázkový výstup:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Zkontrolujte, zda je certifikát podepsán držitelem nebo certifikační autoritou (podepsanou certifikační autoritou):

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Poznámka: Tento příkaz by měl být zadán na jednom řádku. Každá interpunkce je důležitá. Doporučuje se kopírovat a vkládat.

   Ukázkový výstup certifikátu podepsaného certifikační autoritou:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Ukázkový výstup certifikátu podepsaného svým držitelem:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Vygenerujte a nainstalujte náhradní certifikát:

   1. Certifikáty podepsané certifikační autoritou:
      1. Poskytněte certifikační autoritě kopii žádosti o podpis certifikátu vygenerovaného v kroku 5 a požádejte ji o vygenerování náhradního certifikátu pomocí silného algoritmu podpisu. Požadavek na podpis certifikátu se nachází ve složce "/etc/apache2/ssl.csr/server.csr".
      2. Umístěte podepsaný certifikát poskytnutý certifikační autoritou na server Avamar do složky "/etc/apache2/ssl.crt/server.crt"
      3. Přeskočte krok 7b a pokračujte v postupu v kroku 8
      Poznámka: Pokud certifikační autorita poskytla spolu s novým certifikátem jeden nebo více aktualizovaných souborů řetězu certifikátů, pokyny k jejich instalaci naleznete v Dodatku A.
   2. Certifikáty podepsané držitelem:
      1. Vygenerování a instalace náhradního certifikátu

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Ukázkový výstup:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Ověřte, že je nový certifikát podepsán pomocí algoritmu SHA-256 nebo jiného silného algoritmu podpisu:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Ukázkový výstup:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Restartujte webový server Apache:

   website restart

   Ukázkový výstup:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Řízení je dokončeno

Dodatek A – Instalace aktualizovaného jednoho nebo více souborů řetězu certifikátů

1. Vytvoření kopie existujícího řetězu certifikátů

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Instalace jednoho nebo více aktualizovaných souborů řetězu certifikátů
   1. Pokud certifikační autorita poskytla samostatné zprostředkující certifikáty, zkombinujte je do jednoho řetězového souboru:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. V opačném případě umístěte jeden řetězový soubor poskytnutý certifikační autoritou na server Avamar do složky "/etc/apache2/ssl.crt/ca.crt".