Avamar: Come sostituire il certificato SSL firmato da SHA-1 di Apache Web Server
Summary: Avamar: Come sostituire il certificato SSL firmato da SHA-1 di Apache Web Server
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Quando si tenta di connettersi al nodo NetWorker Virtual Edition (NVE), Avamar Server o Avamar Extended Retention (AER) utilizzando un web browser, il browser segnala un errore di connettività di rete e rifiuta la connessione anche se Apache Web Server su NVE, Avamar Server o nodo AER funziona normalmente.
Cause
Il supporto per i certificati SSL firmati utilizzando SHA-1 è stato interrotto dai principali fornitori di browser web a partire dal 1° gennaio 2017. Alcuni certificati NVE, Avamar e AER predefiniti vengono firmati utilizzando SHA-1.
Resolution
- Accedere all'Avamar Utility Node o al server a nodo singolo come utente amministratore, quindi eseguire il comando seguente per passare a root:
su -
Nota: Il trailing - è importante!
Nota: Il trailing - è importante!
- Modificare le directory nella directory di configurazione Apache:
cd /etc/apache2
- Verificare che il certificato corrente sia firmato utilizzando SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha1WithRSAEncryption
Algoritmo di firma: sha1WithRSAEncryption
Nota: Se l'algoritmo di firma non viene segnalato come SHA-1, non continuare con questa procedura
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha1WithRSAEncryption
Algoritmo di firma: sha1WithRSAEncryption
Nota: Se l'algoritmo di firma non viene segnalato come SHA-1, non continuare con questa procedura
- Eseguire il backup del certificato esistente:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Generare una "richiesta di firma del certificato" dal certificato esistente:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ottenere la richiesta
Chiave privata Generazione della richiesta di certificato
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ottenere la richiesta
Chiave privata Generazione della richiesta di certificato
- Verificare se il certificato è autofirmato o firmato da un autorità di certificazione (firmato dall'autorità di certificazione):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "CA Signed"
Nota: Questo comando deve essere inserito su una singola riga. Tutta la punteggiatura è importante. Si consiglia di copiare e incollare.
Esempio di output per un certificato firmato dalla CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "CA Signed"
Firmato dalla CA Output
di esempio per un certificato autofirmato:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "Firmato dalla CA"
Autofirmato
Nota: Questo comando deve essere inserito su una singola riga. Tutta la punteggiatura è importante. Si consiglia di copiare e incollare.
Esempio di output per un certificato firmato dalla CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "CA Signed"
Firmato dalla CA Output
di esempio per un certificato autofirmato:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "Firmato dalla CA"
Autofirmato
- Generare e installare il certificato sostitutivo:
- Per i certificati firmati dall'autorità di certificazione:
- Fornire una copia della richiesta di firma del certificato generata nel passaggio 5 all'autorità di certificazione e chiedere che generi un certificato sostitutivo utilizzando un algoritmo di firma complessa. La richiesta di firma del certificato si trova in /etc/apache2/ssl.csr/server.csr
- Posizionare il certificato firmato fornito dalla CA sull'Avamar Server in /etc/apache2/ssl.crt/server.crt
- Ignorare il passaggio 7b e continuare la procedura dal punto 8
- Per i certificati firmati dall'autorità di certificazione:
Nota: Se la CA ha fornito i file della catena di certificati aggiornati insieme al nuovo certificato, fare riferimento all'Appendice A per istruzioni su come installarli.
- Per i certificati autofirmati:
- Generazione e installazione di un certificato sostitutivo
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Esempio di output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Esempio di output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Verificare che il nuovo certificato sia firmato utilizzando SHA-256 o un altro algoritmo di firma complessa:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha256WithRSAEncryption
Algoritmo di firma: sha256WithRSAEncryption
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha256WithRSAEncryption
Algoritmo di firma: sha256WithRSAEncryption
- Riavviare Apache Web Server:
Riavvio
del sito webOutput di esempio:
root@avamar:/etc/apache2/#: riavvio
del sito web===Arresto del sito web
Arresto di httpd2 (in attesa che tutti i figli vengano terminati) fatto
===Avvio del sito web
Avvio di httpd2 (prefork)
del sito webOutput di esempio:
root@avamar:/etc/apache2/#: riavvio
del sito web===Arresto del sito web
Arresto di httpd2 (in attesa che tutti i figli vengano terminati) fatto
===Avvio del sito web
Avvio di httpd2 (prefork)
- Procedura completata
Additional Information
Appendice A - Installazione dei file della catena di certificati aggiornati
- Creare una copia della catena di certificati esistente
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installazione dei file della catena di certificati aggiornati
- Se la CA ha fornito certificati intermedi separati, combinarli in un unico file della catena:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- In caso contrario, posizionare il singolo file della catena fornito dalla CA sull'Avamar Server in /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.