Avamar：Apache Web Server SHA-1署名済みSSL証明書を置き換える方法

Webブラウザーを使用してNetWorker Virtual Edition(NVE)、Avamar Server、Avamar Extended Retention(AER)ノードに接続しようとすると、NVE、Avamar Server、またはAERノード上のApache Web Serverが正常に動作していても、ブラウザーはネットワーク接続エラーを報告し、接続を拒否します。

SHA-1を使用して署名されたSSL証明書のサポートは、2017年1月1日をもって、主要なWebブラウザー ベンダーによって終了しました。一部のデフォルトのNVE、Avamar、AER証明書は、SHA-1を使用して署名されます。

1. Avamarユーティリティー ノードまたはシングル ノード サーバーにadminユーザーとしてログインし、次のコマンドを実行してrootに切り替えます。

   su -

   注：末尾の-は重要です!

2. ディレクトリーをApache構成ディレクトリーに変更します。

   cd /etc/apache2

3. 現在の証明書がSHA-1を使用して署名されていることを確認します。

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   出力例：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   注：署名アルゴリズムがSHA-1として報告されない場合は、この手順に進まないでください

4. 既存の証明書をバックアップします。

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. 既存の証明書から「証明書署名要求」を生成します。

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   出力例：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. 証明書が自己署名であるか、認証局(CA署名済み)によって署名されているかを確認します。

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   注：このコマンドは、1行で入力する必要があります。句読点はすべて重要です。コピーして貼り付けることをお勧めします。

   CA署名付き証明書の出力例:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   自己署名証明書の出力例:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. 交換用証明書を生成してインストールします。

   1. CA署名済み証明書の場合:
      1. 手順5で生成した証明書署名要求のコピーを認証局に提供し、強力な署名アルゴリズムを使用して交換用証明書を生成するように認証局に要求します。証明書署名リクエストは、「/etc/apache2/ssl.csr/server.csr」にあります。
      2. CAから提供された署名済み証明書をAvamar Serverの「/etc/apache2/ssl.crt/server.crt」に配置します。
      3. 手順7bをスキップして、手順8の手順を続行します
      注：CAから新しい証明書とともに1つ以上の更新された証明書チェーン ファイルが提供された場合は、付録Aでこれらの証明書をインストールする方法について参照してください。
   2. 自己署名証明書の場合:
      1. 交換用証明書の生成とインストール

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         出力例：

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. 新しい証明書がSHA-256またはその他の強力な署名アルゴリズムを使用して署名されていることを確認します。

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   出力例：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Apache Web Serverを再起動します。

   website restart

   出力例：

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. 手順の完了

付録 A - 更新された 1 つ以上の証明書チェーンファイルのインストール

1. 既存の証明書チェーンのコピーを作成する

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. 1つ以上の更新された証明書チェーン ファイルをインストールする
   1. CA が個別の中間証明書を提供している場合は、それらを結合して 1 つのチェーン ファイルにします。

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. それ以外の場合は、CAから提供された単一チェーン ファイルをAvamar Serverの「/etc/apache2/ssl.crt/ca.crt」に配置します。