Avamar: Apache Web Sunucusu SHA-1 imzalı SSL sertifikası nasıl değiştirilir
Summary: Avamar: Apache Web Sunucusu SHA-1 imzalı SSL sertifikası nasıl değiştirilir
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Bir web tarayıcısı kullanarak NetWorker Virtual Edition (NVE), Avamar Server veya Avamar Extended Retention (AER) düğümüne bağlanmaya çalışırken tarayıcı bir ağ bağlantısı hatası bildiriyor ve NVE, Avamar Server veya AER düğümündeki Apache Web Server normal şekilde çalışıyor olsa bile bağlanmayı reddediyor.
Cause
SHA-1 kullanılarak imzalanan SSL sertifikaları desteği, 1 Ocak 2017 tarihinden itibaren geçerli olmak üzere büyük web tarayıcısı satıcıları tarafından sonlandırılmıştır. Bazı varsayılan NVE, Avamar ve AER sertifikaları SHA-1 kullanılarak imzalanır.
Resolution
- Avamar yardımcı yazılım düğümünde veya tek düğüm sunucusunda yönetici kullanıcı olarak oturum açın, ardından köke geçmek için aşağıdaki komutu çalıştırın:
su -
Not: Takip eden - önemlidir!
Not: Takip eden - önemlidir!
- Dizinleri Apache yapılandırma dizinine değiştirin:
cd /etc/apache2
- Geçerli sertifikanın SHA-1 kullanılarak imzalandığını doğrulayın:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha1WithRSAEncryption İmza Algoritması: sha1WithRSAEncryption
Not: İmza algoritması SHA-1 olarak bildirilmiyorsa bu prosedüre devam etmeyin
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha1WithRSAEncryption İmza Algoritması: sha1WithRSAEncryption
Not: İmza algoritması SHA-1 olarak bildirilmiyorsa bu prosedüre devam etmeyin
- Mevcut sertifikayı yedekleyin:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Mevcut sertifikadan bir "sertifika imzalama isteği" oluşturun:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
İstek alma Özel Anahtar
Sertifika isteği oluşturma
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
İstek alma Özel Anahtar
Sertifika isteği oluşturma
- Sertifikanın kendinden imzalı mı yoksa bir Sertifika Yetkilisi (CA imzalı) tarafından mı imzalandığını kontrol edin:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA İmzalı"
Not: Bu komut tek bir satıra girilmelidir. Tüm noktalama işaretleri önemlidir. Kopyalayıp yapıştırmanız önerilir.
CA imzalı sertifika için örnek çıktı:root@avamar:
/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA Signed"
CA Signed
Kendinden imzalı sertifika için örnek çıktı:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA İmzalı"
Kendinden imzalı
Not: Bu komut tek bir satıra girilmelidir. Tüm noktalama işaretleri önemlidir. Kopyalayıp yapıştırmanız önerilir.
CA imzalı sertifika için örnek çıktı:root@avamar:
/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA Signed"
CA Signed
Kendinden imzalı sertifika için örnek çıktı:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA İmzalı"
Kendinden imzalı
- Yedek sertifikayı oluşturun ve yükleyin:
- CA İmzalı sertifikalar için:
- 5. adımda oluşturulan sertifika imzalama isteğinin bir kopyasını Sertifika Yetkilisine sağlayın ve güçlü bir imza algoritması kullanarak yeni bir sertifika oluşturmasını isteyin. Sertifika imzalama isteği /etc/apache2/ssl.csr/server.csr adresinde bulunur
- CA tarafından sağlanan imzalı sertifikayı /etc/apache2/ssl.crt/server.crt dizinindeki Avamar sunucusuna yerleştirin
- 7b adımını atlayın ve 8. adımdaki prosedüre devam edin
- CA İmzalı sertifikalar için:
Not: CA, yeni sertifikayla birlikte güncelleştirilmiş sertifika zincir dosyalarını da sağladıysa bunların nasıl yükleneceğiyle ilgili talimatlar için Ek A'ya bakın.
- Otomatik olarak imzalanan sertifikalar için:
- Yedek sertifika oluşturma ve yükleme
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Yeni sertifikanın SHA-256 veya başka bir güçlü imza algoritması kullanılarak imzalandığını doğrulayın:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha256WithRSAEncryption İmza Algoritması: sha256WithRSAEncryption
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha256WithRSAEncryption İmza Algoritması: sha256WithRSAEncryption
- Apache web sunucusunu yeniden başlatın:
Web Sitesi Yeniden Başlatma
Örnek çıktı:
root@avamar:/etc/apache2/#: web sitesi yeniden başlatılıyor
===Web sitesi
kapatılıyor httpd2 kapatılıyor (tüm çocukların sonlandırılması bekleniyor) tamamlandı
===Web sitesi
başlatılıyor httpd2 başlatılıyor (prefork)
Örnek çıktı:
root@avamar:/etc/apache2/#: web sitesi yeniden başlatılıyor
===Web sitesi
kapatılıyor httpd2 kapatılıyor (tüm çocukların sonlandırılması bekleniyor) tamamlandı
===Web sitesi
başlatılıyor httpd2 başlatılıyor (prefork)
- Prosedür tamamlandı
Additional Information
Ek A - Güncelleştirilmiş sertifika zincir dosyalarını yükleme
- Mevcut sertifika zincirinin bir kopyasını oluşturma
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Güncelleştirilmiş sertifika zincir dosyalarını yükleme
- CA ayrı ara sertifikalar sağlamışsa bunları tek bir zincir dosyasında birleştirin:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Aksi takdirde, CA tarafından sağlanan tek zincirlik dosyayı /etc/apache2/ssl.crt/ca.crt dizinindeki Avamar sunucusuna yerleştirin
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.