Avamar: Cómo reemplazar el certificado SSL firmado SHA-1 de Apache Web Server

Cuando se intenta conectar al nodo de NetWorker Virtual Edition (NVE), el servidor Avamar o Avamar Extended Retention (AER) mediante un navegador web, el navegador informa un error de conectividad de red y rechaza la conexión, a pesar de que Apache Web Server en NVE, el servidor Avamar o el nodo de AER funcionan con normalidad.

El soporte para certificados SSL firmados mediante SHA-1 ha finalizado por parte de los principales proveedores de navegadores web a partir del 1 de enero de 2017. Algunos certificados predeterminados de NVE, Avamar y AER están firmados mediante SHA-1.

1. Inicie sesión en Avamar Utility Node o en el servidor de nodo único como usuario administrador y, a continuación, ejecute el siguiente comando para cambiar a root:

   su -

   Nota: ¡El arrastre es importante!

2. Cambie los directorios al directorio de configuración de Apache:

   cd /etc/apache2

3. Confirme que el certificado actual esté firmado mediante SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Resultado de muestra:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Nota: Si el algoritmo de firma no se informa como SHA-1, no continúe con este procedimiento

4. Respalde el certificado existente:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Genere una "solicitud de firma de certificado" a partir del certificado existente:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Resultado de muestra:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Compruebe si el certificado está autofirmado o firmado por una autoridad de certificación (firmado por una CA):

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Nota: Este comando se debe ingresar en una sola línea. Todos los signos de puntuación son importantes. Se recomienda copiar y pegar.

   Ejemplo de salida para un certificado firmado por una CA:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Ejemplo de salida para un certificado autofirmado:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Genere e instale el certificado de reemplazo:

   1. Para certificados firmados por una CA:
      1. Proporcione una copia de la solicitud de firma de certificado generada en el paso 5 a la autoridad de certificación y solicite que genere un certificado de reemplazo mediante un algoritmo de firma segura. La solicitud de firma de certificado se encuentra en "/etc/apache2/ssl.csr/server.csr"
      2. Coloque el certificado firmado proporcionado por la CA en el servidor Avamar en "/etc/apache2/ssl.crt/server.crt"
      3. Omita el paso 7b y continúe con el procedimiento del paso 8
      Nota: Si la CA proporcionó uno o más archivos de cadena de certificados actualizados junto con el nuevo certificado, consulte el Apéndice A para obtener instrucciones sobre cómo instalarlos.
   2. Para los certificados autofirmados:
      1. Generar e instalar un certificado de reemplazo

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Resultado de muestra:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Confirme que el nuevo certificado esté firmado mediante SHA-256 u otro algoritmo de firma segura:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Resultado de muestra:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Reinicie Apache Web Server:

   website restart

   Resultado de muestra:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Procedimiento completado

Apéndice A: Instalación de uno o más archivos de cadena de certificados actualizados

1. Crear una copia de la cadena de certificados existente

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Instalar uno o más archivos de cadena de certificados actualizados
   1. Si la CA proporcionó certificados intermedios separados, combínelos en un único archivo de cadena:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. De lo contrario, coloque el archivo de cadena única proporcionado por la CA en el servidor Avamar en "/etc/apache2/ssl.crt/ca.crt"