Avamar:如何更換 Apache Web Server SHA-1 簽署的 SSL 憑證

Summary: Avamar:如何更換 Apache Web Server SHA-1 簽署的 SSL 憑證

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



嘗試使用網頁瀏覽器連線至 NetWorker Virtual Edition (NVE)、Avamar Server 或 Avamar Extended Retention (AER) 節點時,即使 NVE、Avamar Server 或 AER 節點上的 Apache Web 伺服器運作正常,瀏覽器仍會回報網路連線錯誤並拒絕連線。

Cause

主要 Web 瀏覽器供應商已終止對使用 SHA-1 簽名的 SSL 證書的支援,自 2017 年 1 月 1 日起生效。某些預設的 NVE、Avamar 和 AER 憑證是使用 SHA-1 簽署。

Resolution

  1. 以系統管理員使用者身分登入 Avamar 工具節點或單一節點伺服器,然後執行下列命令以切換至 root:
蘇 -

便條:尾隨 - 很重要!
  1. 將目錄變更至 Apache 組態目錄:
CD /etc/apache2
  1. 確認目前的憑證已使用 SHA-1 簽署:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”

範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “signature”
signature algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption

注意:如果簽名演算法未報告為 SHA-1,請不要繼續執行此程序
  1. 備份現有憑證:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
  1. 從現有憑證產生「憑證簽署要求」:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
正在取得要求私密金鑰
產生憑證要求
  1. 檢查憑證是自我簽署或由認證機構簽署 (CA 簽署):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:“ |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||echo “CA Signed”

注意:此命令應在一行中輸入。所有標點符號都很重要。建議您複製並貼上。

CA 簽署憑證的範例輸出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:“ |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||回應「CA Signed」
CA 簽署

自我簽署憑證的範例輸出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:" |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||回應「CA 簽署」
自我簽署
  1. 產生並安裝更換憑證:
    1. 對於 CA 簽署的憑證
      1. 將步驟 5 中產生的憑證簽署要求複本提供給認證機構,並要求他們使用強簽名演算法產生替換憑證。憑證簽署要求位於 /etc/apache2/ssl.csr/server.csr
      2. 將 CA 提供的簽署憑證置於 Avamar Server 的 /etc/apache2/ssl.crt/server.crt
      3. 略過步驟 7b,繼續步驟 8 中的程序
注意:如果 CA 提供了更新的證書鏈檔以及新證書,請參閱附錄 A 以獲取有關如何安裝這些文件的說明。
  1. 若為自我簽署憑證
    1. 產生並安裝更換憑證
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
  1. 確認新憑證是使用 SHA-256 或其他強簽名演算法簽署:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”

範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “signature”
signature algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
  1. 重新啟動 Apache Web 伺服器:
網站重啟

示例輸出:
root@avamar:/etc/apache2/#: 網站重啟
===關閉網站
關閉 HTTPd2(等待所有子項終止)
完成===啟動網站
啟動 httpd2 (前分叉)    
  1. 程序完成

Additional Information

附錄 A - 安裝更新的憑證鏈檔
  1. 建立現有憑證鏈的複本
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
  1. 安裝更新的憑證鏈檔案
    1. 如果 CA 提供了單獨的中間證書,請將它們合併到單個鏈檔中:
Cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
  1. 否則,請將 CA 提供的單一鏈結檔案放在 Avamar Server 的 /etc/apache2/ssl.crt/ca.crt

Affected Products

Avamar

Products

Avamar
Article Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.