Avamar:如何替换 Apache Web Server SHA-1 签名的 SSL 证书
Summary: Avamar:如何替换 Apache Web Server SHA-1 签名的 SSL 证书
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
尝试使用网页浏览器连接到 NetWorker Virtual Edition (NVE)、Avamar Server 或 Avamar Extended Retention (AER) 节点时,即使 NVE、Avamar Server 或 AER 节点上的 Apache Web Server 正常运行,浏览器也会报告网络连接错误并拒绝连接。
Cause
自 2017 年 1 月 1 日起,主要网页浏览器供应商已终止对使用 SHA-1 签名的 SSL 证书的支持。某些默认的 NVE、Avamar 和 AER 证书使用 SHA-1 签名。
Resolution
- 以管理员用户身份登录到 Avamar 应用工具节点或单节点服务器,然后运行以下命令以切换到 root:
苏-
注意:尾随 - 很重要!
注意:尾随 - 很重要!
- 将目录切换到 Apache 配置目录:
cd /etc/apache2
- 确认当前证书是使用 SHA-1 签名的:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
注意:如果签名算法未报告为 SHA-1,请勿继续执行此过程
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
注意:如果签名算法未报告为 SHA-1,请勿继续执行此过程
- 备份现有证书:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- 从现有证书生成“证书签名请求”:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
获取请求 私钥
生成证书请求
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
获取请求 私钥
生成证书请求
- 检查证书是自签名的还是由证书颁发机构签名的(CA 签名):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:“ |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
注意:此命令应在一行中输入。所有标点符号都很重要。建议进行复制和粘贴。
CA 签名证书的输出示例:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:“ |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
CA Signed
自签名证书的示例输出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:" |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
自签名
注意:此命令应在一行中输入。所有标点符号都很重要。建议进行复制和粘贴。
CA 签名证书的输出示例:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:“ |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
CA Signed
自签名证书的示例输出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:" |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
自签名
- 生成并安装更换证书:
- 对于 CA 签名证书:
- 向证书颁发机构提供在步骤 5 中生成的证书签名请求的副本,并请求他们使用强签名算法生成替换证书。证书签名请求位于 /etc/apache2/ssl.csr/server.csr
- 将 CA 提供的签名证书放在 Avamar Server 的 /etc/apache2/ssl.crt/server.crt 中
- 跳过步骤 7b 并继续执行步骤 8 中的过程
- 对于 CA 签名证书:
提醒:如果 CA 随新证书一起提供了更新的证书链文件,请参阅附录 A,了解有关如何安装这些文件的说明。
- 对于自签名证书:
- 生成并安装替换证书
openssl x509-sha256-req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- 确认新证书是使用 SHA-256 或其他强签名算法签名的:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
签名算法:sha256WithRSAEncryption
签名算法:sha256WithRSAEncryption
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
签名算法:sha256WithRSAEncryption
签名算法:sha256WithRSAEncryption
- 重新启动 Apache Web Server:
网站重启
输出示例:
root@avamar:/etc/apache2/#: website restart
===关闭网站
关闭 httpd2 (waiting for all children to terminate) done
===Starting website
Starting httpd2 (prefork)
输出示例:
root@avamar:/etc/apache2/#: website restart
===关闭网站
关闭 httpd2 (waiting for all children to terminate) done
===Starting website
Starting httpd2 (prefork)
- 程序完成
Additional Information
附录 A — 安装更新的证书链文件
- 创建现有证书链的副本
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- 安装更新的证书链文件
- 如果 CA 提供了单独的中间证书,请将它们合并到单个链文件中:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- 否则,将 CA 提供的单个链文件放在 Avamar Server 上的 /etc/apache2/ssl.crt/ca.crt 中
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.