Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat

Summary: I den här artikeln beskrivs hur du ersätter Apache Web Server SHA-1-signerat SSL-certifikat.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

När du försöker ansluta till NetWorker Virtual Edition (NVE), Avamar-servern eller Avamar Extended Retention-noden (AER) med hjälp av en webbläsare rapporterar webbläsaren ett nätverksanslutningsfel och vägrar att ansluta trots att Apache-webbservern på NVE-, Avamar-servern eller AER-noden fungerar normalt.

 

Cause

Stöd för SSL-certifikat signerade med SHA-1 har upphört av de stora webbläsarleverantörerna från och med den 1 januari 2017. Vissa standardcertifikat för NVE, Avamar och AER signeras med SHA-1.

 

Resolution

  1. Logga in på Avamar-verktygsnoden eller servern med en enskild nod som administratörsanvändare och kör sedan följande kommando för att växla till roten:

    su -
    Obs! Släpningen - är viktig!

  2. Ändra katalogerna till Apache-konfigurationskatalogen:

    cd /etc/apache2

  3. Bekräfta att det aktuella certifikatet är signerat med SHA-1:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Exempel på utdata:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren

  4. Säkerhetskopiera det befintliga certifikatet:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Generera en "begäran om certifikatsignering" från det befintliga certifikatet:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Exempel på utdata:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Kontrollera om certifikatet är självsignerat eller signerat av en certifikatutfärdare (CA-signerad):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Obs! Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.

    Exempel på utdata för ett CA-signerat certifikat:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Exempel på utdata för ett självsignerat certifikat:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Generera och installera ersättningscertifikatet:

    1. För CA-signerade certifikat:
      1. Ge en kopia av begäran om certifikatsignering som genererades i steg 5 till certifikatutfärdaren och begär att de genererar ett ersättningscertifikat med hjälp av en stark signaturalgoritm. Begäran om certifikatsignering finns på "/etc/apache2/ssl.csr/server.csr"
      2. Placera det signerade certifikatet som tillhandahålls av certifikatutfärdaren på Avamar-servern i "/etc/apache2/ssl.crt/server.crt"
      3. Hoppa över steg 7b och fortsätt proceduren i steg 8
      Obs! Om certifikatutfärdaren tillhandahöll en eller flera uppdaterade certifikatkedjefiler tillsammans med det nya certifikatet, se bilaga A för instruktioner om hur du installerar dessa.
    2. För självsignerade certifikat:
      1. Generera och installera ett ersättningscertifikat 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Exempel på utdata: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Bekräfta att det nya certifikatet är signerat med SHA-256 eller någon annan stark signaturalgoritm:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Exempel på utdata:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Starta om Apache-webbservern:

    website restart

    Exempel på utdata:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Proceduren har slutförts

 

Additional Information

Bilaga A – Installera uppdaterad en eller flera certifikatkedjefiler

  1. Skapa en kopia av den befintliga certifikatkedjan

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Installera en eller flera uppdaterade certifikatkedjefiler
    1. Om certifikatutfärdaren har tillhandahållit separata mellanliggande certifikat kombinerar du dem till en enda kedjefil: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. I annat fall placerar du den enskilda kedjefilen som tillhandahålls av certifikatutfärdaren på Avamar-servern i "/etc/apache2/ssl.crt/ca.crt"

 

Affected Products

Avamar

Products

Avamar
Article Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 13 Jan 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.