Avamar: Hoe vervang ik een door Apache Web Server SHA-1 ondertekend SSL-certificaat?
Summary: Avamar: Hoe vervang ik een door Apache Web Server SHA-1 ondertekend SSL-certificaat?
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Wanneer u via een webbrowser verbinding probeert te maken met het NetWorker Virtual Edition (NVE), Avamar Server of Avamar Extended Retention (AER) knooppunt, meldt de browser een netwerkverbindingsfout en weigert verbinding te maken, ook al werkt de Apache Web Server op de NVE, Avamar server of AER knooppunt normaal.
Cause
Ondersteuning voor SSL-certificaten die zijn ondertekend met SHA-1 is met ingang van 1 januari 2017 beëindigd door de grote leveranciers van webbrowsers. Bepaalde standaard NVE-, Avamar- en AER-certificaten worden ondertekend met SHA-1.
Resolution
- Meld u aan bij het Avamar utility-knooppunt of de server met één knooppunt als de beheerdersgebruiker en voer vervolgens de volgende opdracht uit om over te schakelen naar root:
Su-
Notitie: De trailing - is belangrijk!
Notitie: De trailing - is belangrijk!
- Verander directories in de Apache-configuratiedirectory:
cd /etc/apache2
- Controleer of het huidige certificaat is ondertekend met SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption
Opmerking: Als het handtekeningalgoritme niet wordt gerapporteerd als SHA-1, ga dan niet verder met deze procedure
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption
Opmerking: Als het handtekeningalgoritme niet wordt gerapporteerd als SHA-1, ga dan niet verder met deze procedure
- Maak een back-up van het bestaande certificaat:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Genereer een "certificate signing request" van het bestaande certificaat:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Voorbeelduitvoer:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Aanvraag ontvangen Privésleutel
Certificaataanvraag genereren
Voorbeelduitvoer:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Aanvraag ontvangen Privésleutel
Certificaataanvraag genereren
- Controleer of het certificaat zelfondertekend is of door een certificeringsinstantie (CA-ondertekend):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Uitgevende instelling: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Opmerking: Deze opdracht moet op één regel worden ingevoerd. Alle interpunctie is belangrijk. Het wordt aanbevolen om te kopiëren en plakken.
Voorbeelduitvoer voor een CA-ondertekend certificaat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Uitgevende instelling: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed
Sample output for a self-signed certificate:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Uitgevende instelling: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed
Opmerking: Deze opdracht moet op één regel worden ingevoerd. Alle interpunctie is belangrijk. Het wordt aanbevolen om te kopiëren en plakken.
Voorbeelduitvoer voor een CA-ondertekend certificaat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Uitgevende instelling: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed
Sample output for a self-signed certificate:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Uitgevende instelling: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed
- Genereer en installeer het vervangende certificaat:
- Voor door CA ondertekende certificaten:
- Verstrek een kopie van de certificaatondertekeningsaanvraag die in stap 5 is gegenereerd aan de certificeringsinstantie en vraag of ze een vervangend certificaat kunnen genereren met behulp van een sterk handtekeningalgoritme. De certificaatondertekeningsaanvraag bevindt zich op /etc/apache2/ssl.csr/server.csr
- Plaats het ondertekende certificaat van de CA op de Avamar-server in /etc/apache2/ssl.crt/server.crt
- Sla stap 7b over en ga verder bij stap 8
- Voor door CA ondertekende certificaten:
Opmerking: Als de certificeringsinstantie bijgewerkte certificaatketenbestand(en) samen met het nieuwe certificaat heeft geleverd, raadpleegt u bijlage A voor instructies over hoe u deze kunt installeren.
- Voor zelfondertekende certificaten:
- Een vervangend certificaat genereren en installeren
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Controleer of het nieuwe certificaat is ondertekend met SHA-256 of een ander sterk handtekeningalgoritme:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Voorbeelduitvoer:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Handtekening Algoritme: sha256WithRSAEncryption
Handtekening Algoritme: sha256WithRSAEncryption
Voorbeelduitvoer:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Handtekening Algoritme: sha256WithRSAEncryption
Handtekening Algoritme: sha256WithRSAEncryption
- Start de Apache-webserver opnieuw:
Website opnieuw opstarten
Voorbeelduitvoer:
root@avamar:/etc/apache2/#: website herstarten
===Afsluiten van website
Afsluiten van httpd2 (wachten tot alle kinderen beëindigen) gedaan
===Startende website
Starten van httpd2 (prefork)
Voorbeelduitvoer:
root@avamar:/etc/apache2/#: website herstarten
===Afsluiten van website
Afsluiten van httpd2 (wachten tot alle kinderen beëindigen) gedaan
===Startende website
Starten van httpd2 (prefork)
- Procedure voltooid
Additional Information
Bijlage A - Bijgewerkte bestand(en) van de certificaatketen installeren
- Een kopie van de bestaande certificaatketen maken
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Bijgewerkte certificaatketenbestand(en) installeren
- Als de certificeringsinstantie afzonderlijke tussenliggende certificaten heeft verstrekt, combineert u deze tot één ketenbestand:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Plaats anders het enkele ketenbestand van de CA op de Avamar-server in /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.