Avamar: Sådan udskiftes Apache Web Server SHA-1-signeret SSL-certifikat
Summary: Avamar: Sådan udskiftes Apache Web Server SHA-1-signeret SSL-certifikat
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Når du forsøger at oprette forbindelse til NetWorker Virtual Edition (NVE), Avamar-serveren eller Avamar Extended Retention (AER)-noden ved hjælp af en webbrowser, rapporterer browseren en netværksforbindelsesfejl og nægter at oprette forbindelse, selvom Apache-webserveren på NVE-, Avamar-serveren eller AER-noden fungerer normalt.
Cause
Understøttelse af SSL-certifikater, der er signeret ved hjælp af SHA-1, er blevet opsagt af de store webbrowserleverandører med virkning fra 1. januar 2017. Visse standard NVE-, Avamar- og AER-certifikater er signeret ved hjælp af SHA-1.
Resolution
- Log på Avamar-hjælpeprogramnoden eller serveren med en enkelt node som administratorbruger, og kør derefter følgende kommando for at skifte til rod:
Su-
Seddel: Den efterfølgende - er vigtig!
Seddel: Den efterfølgende - er vigtig!
- Skift mapper i Apache-konfigurationsmappen:
cd /etc/apache2
- Bekræft, at det aktuelle certifikat er signeret ved hjælp af SHA-1:
openssl x509 -i ssl.crt/server.crt -text -noout | grep "Signatur"
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha1WithRSAEncryption
Signaturalgoritme: sha1WithRSAEncryption
Bemærk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, skal du ikke fortsætte med denne procedure
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha1WithRSAEncryption
Signaturalgoritme: sha1WithRSAEncryption
Bemærk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, skal du ikke fortsætte med denne procedure
- Sikkerhedskopier det eksisterende certifikat:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'dato -I'
- Generer en "anmodning om certifikatsignering" fra det eksisterende certifikat:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -ud ssl.csr/server.csr
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Modtagelse af anmodning Privat nøgle
Generering af certifikatanmodning
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Modtagelse af anmodning Privat nøgle
Generering af certifikatanmodning
- Kontrollér, om certifikatet er selvsigneret eller signeret af et nøglecenter (CA-signeret):
[ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || echo "CA underskrevet"
Bemærk: Denne kommando skal indtastes på en enkelt linje. Al tegnsætning er vigtig. Det anbefales at kopiere og indsætte.
Eksempel på output for et CA-signeret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || echo "CA Signed"
CA Signed
Sample output for et selvsigneret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || ekko "CA underskrevet"
Selvsigneret
Bemærk: Denne kommando skal indtastes på en enkelt linje. Al tegnsætning er vigtig. Det anbefales at kopiere og indsætte.
Eksempel på output for et CA-signeret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || echo "CA Signed"
CA Signed
Sample output for et selvsigneret certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -i ssl.crt / server.crt -tekst -noout | grep "Emne: \|Udstederen: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && ekko "Selvsigneret" || ekko "CA underskrevet"
Selvsigneret
- Generer og installer erstatningscertifikatet:
- For CA-signerede certifikater:
- Giv en kopi af anmodningen om certifikatsignering, der blev genereret i trin 5, til nøglecenteret, og anmod om, at de genererer et erstatningscertifikat ved hjælp af en stærk signaturalgoritme. Anmodningen om certifikatsignering findes på /etc/apache2/ssl.csr/server.csr
- Placer det underskrevne certifikat, der leveres af nøglecenteret, på Avamar-serveren i /etc/apache2/ssl.crt/server.crt
- Spring trin 7b over, og fortsæt proceduren i trin 8
- For CA-signerede certifikater:
Bemærk: Hvis nøglecenteret leverede opdaterede certifikatkædefil(er) sammen med det nye certifikat, skal du se tillæg A for instruktioner om, hvordan du installerer disse.
- For selvsignerede certifikater:
- Oprette og installere et erstatningscertifikat
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -dage 1825
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Eksempel på output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Bekræft, at det nye certifikat er signeret ved hjælp af SHA-256 eller en anden stærk signaturalgoritme:
openssl x509 -i ssl.crt/server.crt -text -noout | grep "Signatur"
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha256WithRSAEncryption
Signaturalgoritme: sha256WithRSAEncryption
Eksempel output:
root@avamar: / etc / apache2 / #: openssl x509 -in ssl.crt / server.crt -tekst -noout | grep "Signatur"
Signaturalgoritme: sha256WithRSAEncryption
Signaturalgoritme: sha256WithRSAEncryption
- Genstart Apache-webserveren:
Genstart af
hjemmesidenEksempel på output:
root@avamar: / etc / apache2 / #: hjemmeside genstart
=== Lukning af websted
Lukning httpd2 (venter på, at alle børn afsluttes) færdig
=== Start af websted
Start httpd2 (prefork)
hjemmesidenEksempel på output:
root@avamar: / etc / apache2 / #: hjemmeside genstart
=== Lukning af websted
Lukning httpd2 (venter på, at alle børn afsluttes) færdig
=== Start af websted
Start httpd2 (prefork)
- Proceduren er fuldført
Additional Information
Appendiks A - Installation af opdaterede certifikatkædefil(er)
- Oprette en kopi af den eksisterende certifikatkæde
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installer opdaterede certifikatkædefil(er)
- Hvis nøglecenteret har leveret separate mellemliggende certifikater, kombineres de i en enkelt kædefil:
Cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Ellers skal du placere den enkeltkædede fil, der leveres af nøglecenteret, på Avamar-serveren i /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.