Avamar: Slik erstatter du Apache Web Server SHA-1-signert SSL-sertifikat
Summary: Avamar: Slik erstatter du Apache Web Server SHA-1-signert SSL-sertifikat
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Når du prøver å koble til NetWorker Virtual Edition (NVE), Avamar-serveren eller Avamar Extended Retention-noden (AER) ved hjelp av en nettleser, rapporterer nettleseren en feil på nettverkstilkoblingen og avviser å koble til selv om Apache-webserveren på NVE-, Avamar- eller AER-noden fungerer normalt.
Cause
Støtte for SSL-sertifikater signert med SHA-1 har blitt avsluttet av de store nettleserleverandørene, med virkning fra 1. januar 2017. Enkelte standard NVE-, Avamar- og AER-sertifikater er signert med SHA-1.
Resolution
- Logg på Avamar-verktøynoden eller enkeltnodeserveren som administratorbruker, og kjør deretter følgende kommando for å bytte til rot:
Su-
Notat: Den etterfølgende - er viktig!
Notat: Den etterfølgende - er viktig!
- Endre kataloger i Apache-konfigurasjonskatalogen:
cd / etc / apache2
- Bekreft at gjeldende sertifikat er signert med SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt-text -noout | grep "signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Note: Hvis signaturalgoritmen ikke rapporteres som SHA-1, må du ikke fortsette med denne fremgangsmåten
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt-text -noout | grep "signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Note: Hvis signaturalgoritmen ikke rapporteres som SHA-1, må du ikke fortsette med denne fremgangsmåten
- Sikkerhetskopier det eksisterende sertifikatet:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Generer en "forespørsel om sertifikatsignering" fra det eksisterende sertifikatet:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Sample output:
root@avamar:/etc/apache2/#: openssl x509-in ssl.crt/server.crt-signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Få forespørsel Private Key
Generere sertifikatforespørsel
Sample output:
root@avamar:/etc/apache2/#: openssl x509-in ssl.crt/server.crt-signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Få forespørsel Private Key
Generere sertifikatforespørsel
- Sjekk om sertifikatet er selvsignert eller signert av en sertifiseringsinstans (CA-signert):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Utsteder: " | sed 's/.*:\(.*\)/\1/' | UniQ | wc -l' -eq "1" ] &&; ekko "Selvsignert" || echo "CA Signed"
Merk: Denne kommandoen skal legges inn på en enkelt linje. All tegnsetting er viktig. Det anbefales å kopiere og lime inn.
Eksempel på utdata for et CA-signert sertifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Utsteder: " | sed 's/.*:\(.*\)/\1/' | UniQ | wc -l' -eq "1" ] &&; ekko "Selvsignert" || echo "CA Signed"
CA Signed Sample
output for a self-signed certificate:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Utsteder: " | sed 's/.*:\(.*\)/\1/' | UniQ | wc -l' -eq "1" ] &&; ekko "Selvsignert" || ekko "CA Signert"
Selvsignert
Merk: Denne kommandoen skal legges inn på en enkelt linje. All tegnsetting er viktig. Det anbefales å kopiere og lime inn.
Eksempel på utdata for et CA-signert sertifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Utsteder: " | sed 's/.*:\(.*\)/\1/' | UniQ | wc -l' -eq "1" ] &&; ekko "Selvsignert" || echo "CA Signed"
CA Signed Sample
output for a self-signed certificate:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Utsteder: " | sed 's/.*:\(.*\)/\1/' | UniQ | wc -l' -eq "1" ] &&; ekko "Selvsignert" || ekko "CA Signert"
Selvsignert
- Generer og installer erstatningssertifikatet:
- For CA-signerte sertifikater:
- Gi en kopi av forespørselen om sertifikatsignering som ble generert i trinn 5, til sertifiseringsinstansen, og be om at de genererer et erstatningssertifikat ved hjelp av en sterk signaturalgoritme. Du finner forespørselen om sertifikatsignering på /etc/apache2/ssl.csr/server.csr
- Plasser det signerte sertifikatet fra sertifiseringsinstansen på Avamar-serveren i /etc/apache2/ssl.crt/server.crt
- Hopp over trinn 7b, og fortsett prosedyren i trinn 8
- For CA-signerte sertifikater:
Merk: Hvis sertifiseringsinstansen leverte oppdaterte sertifikatkjedefiler, sammen med det nye sertifikatet, kan du se vedlegg A for instruksjoner om hvordan du installerer disse.
- For selvsignerte sertifikater:
- Generere og installere et erstatningssertifikat
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Sample output:
root@avamar:/etc/apache2/#: openssl x509-sha256-req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Sample output:
root@avamar:/etc/apache2/#: openssl x509-sha256-req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Bekreft at det nye sertifikatet er signert med SHA-256 eller en annen sterk signaturalgoritme:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt-text -noout | grep "Signature"
Signature Algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt-text -noout | grep "Signature"
Signature Algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
- Start Apache-webserveren på nytt:
Start på nytt
på nettstedetEksempel utgang:
root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (venter på alle barn å avslutte) done
=== Starte nettstedet
Starter httpd2 (prefork)
på nettstedetEksempel utgang:
root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (venter på alle barn å avslutte) done
=== Starte nettstedet
Starter httpd2 (prefork)
- Prosedyren er fullført
Additional Information
Vedlegg A - Installere oppdaterte sertifikatkjedefiler(e)
- Opprette en kopi av den eksisterende sertifikatkjeden
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installere oppdaterte sertifikatkjedefil(er)
- Hvis sertifiseringsinstansen har gitt separate mellomliggende sertifikater, kan du kombinere dem til én enkelt kjedefil:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Hvis ikke, plasserer du enkeltkjedefilen fra sertifiseringsinstansen på Avamar-serveren i /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.