Avamar: Hoe vervang ik een door Apache Web Server SHA-1 ondertekend SSL-certificaat?

Wanneer u via een webbrowser verbinding probeert te maken met het NetWorker Virtual Edition (NVE), Avamar Server of Avamar Extended Retention (AER) knooppunt, meldt de browser een netwerkverbindingsfout en weigert verbinding te maken, ook al werkt de Apache Web Server op de NVE, Avamar server of AER knooppunt normaal.

Ondersteuning voor SSL-certificaten die zijn ondertekend met SHA-1 is met ingang van 1 januari 2017 beëindigd door de grote leveranciers van webbrowsers. Bepaalde standaard NVE-, Avamar- en AER-certificaten worden ondertekend met SHA-1.

1. Meld u aan bij het Avamar hulpprogrammaknooppunt of de server met één knooppunt als de beheerdersgebruiker en voer de volgende opdracht uit om over te schakelen naar root:

   su -

   Opmerking: De trailing - is belangrijk!

2. Verander de directory's in de Apache-configuratiedirectory:

   cd /etc/apache2

3. Controleer of het huidige certificaat is ondertekend met SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Voorbeeldresultaat:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Opmerking: Als het handtekeningalgoritme niet wordt gerapporteerd als SHA-1, ga dan niet verder met deze procedure

4. Maak een back-up van het bestaande certificaat:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Genereer een "certificate signing request" van het bestaande certificaat:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Voorbeeldresultaat:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Controleer of het certificaat zelfondertekend is of door een certificeringsinstantie (CA-ondertekend):

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Opmerking: Deze opdracht moet op één regel worden ingevoerd. Alle interpunctie is belangrijk. Het wordt aanbevolen om te kopiëren en plakken.

   Voorbeelduitvoer voor een CA-ondertekend certificaat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Voorbeelduitvoer voor een zelfondertekend certificaat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Genereer en installeer het vervangende certificaat:

   1. Voor door CA ondertekende certificaten:
      1. Verstrek een kopie van de certificaatondertekeningsaanvraag die in stap 5 is gegenereerd aan de certificeringsinstantie en vraag of ze een vervangend certificaat kunnen genereren met behulp van een sterk handtekeningalgoritme. De certificaatondertekeningsaanvraag bevindt zich op /etc/apache2/ssl.csr/server.csr"
      2. Plaats het ondertekende certificaat van de certificeringsinstantie op de Avamar-server in /etc/apache2/ssl.crt/server.crt
      3. Sla stap 7b over en ga verder bij stap 8
      Opmerking: Als de certificeringsinstantie een of meer bijgewerkte certificaatketenbestanden samen met het nieuwe certificaat heeft geleverd, raadpleegt u Bijlage A voor instructies over het installeren van deze bestanden.
   2. Voor zelfondertekende certificaten:
      1. Een vervangend certificaat genereren en installeren

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Voorbeeldresultaat:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Controleer of het nieuwe certificaat is ondertekend met SHA-256 of een ander sterk handtekeningalgoritme:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Voorbeeldresultaat:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Start de Apache-webserver opnieuw:

   website restart

   Voorbeeldresultaat:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Procedure voltooid

Bijlage A - Een of meer certificaatketenbestanden installeren die zijn bijgewerkt

1. Een kopie van de bestaande certificaatketen maken

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Een of meer bijgewerkte certificaatketenbestanden installeren
   1. Als de certificeringsinstantie afzonderlijke tussenliggende certificaten heeft verstrekt, combineert u deze tot één ketenbestand:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. Anders plaatst u het enkele chain-bestand dat door de CA wordt geleverd op de Avamar-server in "/etc/apache2/ssl.crt/ca.crt"