Авамар: Як замінити SSL-сертифікат Apache Web Server SHA-1

Summary: У цій статті пояснюється, як замінити SSL-сертифікат Apache Web Server SHA-1, підписаний.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

При спробі підключитися до NetWorker Virtual Edition (NVE), сервера Avamar або вузла Avamar Extended Retention (AER) через веб-браузер повідомляє про помилку мережевого підключення і відмовляється підключатися, навіть якщо веб-сервер Apache на NVE, сервері Avamar або вузлі AER працює нормально.

 

Cause

Підтримка SSL-сертифікатів, підписаних за допомогою SHA-1, була припинена основними виробниками веб-браузерів з 1 січня 2017 року. Деякі стандартні сертифікати NVE, Avamar та AER підписуються за допомогою SHA-1.

 

Resolution

  1. Увійдіть у Avamar Utility Node або сервер одного вузла як адміністратор, потім виконайте наступну команду для переключення на root:

    su -
    Примітка. Задня частина — дуже важлива!

  2. Змініть каталоги у каталог конфігурації Apache:

    cd /etc/apache2

  3. Підтверджіть, що поточний сертифікат підписаний за допомогою SHA-1:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Примітка. Якщо алгоритм підпису не вказаний як SHA-1, не проводити цю процедуру

  4. Резервна копія існуючого сертифіката:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Згенеруйте «запит на підписання сертифіката» з існуючого сертифіката:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Перевірте, чи є сертифікат самопідписаним або підписаним Сертифікаційним центром (CA підписаний):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Примітка. Цю команду слід вводити одним рядком. Усі пунктуації важливі. Рекомендується копіювати та вставляти.

    Зразок результату сертифіката, підписаного CA:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Зразок виводу для самопідписаного сертифіката:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Згенеруйте та встановіть сертифікат заміни:

    1. Для сертифікатів, підписаних CA:
      1. Надайте копію запиту на підписання сертифіката, згенерованого на кроці 5, Центру сертифікації та попросіть створити замінний сертифікат за допомогою потужного алгоритму підпису. Запит на підписання сертифіката знаходиться за адресою "/etc/apache2/ssl.csr/server.csr"
      2. Розмістіть підписаний сертифікат, наданий CA, на сервері Avamar у "/etc/apache2/ssl.crt/server.crt"
      3. Пропустіть крок 7b і продовжуйте процедуру на етапі 8
      Примітка. Якщо CA надав один або кілька оновлених файлів ланцюга сертифікатів разом із новим сертифікатом, зверніться до Додатку A для інструкцій щодо їх встановлення.
    2. Для самопідписаних сертифікатів:
      1. Створіть і встановіть сертифікат заміни 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Вибірковий вихід: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Переконайтеся, що новий сертифікат підписаний за допомогою SHA-256 або іншого сильного алгоритму підпису:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Перезапустити веб-сервер Apache:

    website restart

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Процедура завершена

 

Additional Information

Додаток A — Встановлення оновленого одного або кількох файлів ланцюга сертифікатів

  1. Створіть копію існуючого ланцюга сертифікатів

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Встановіть один або кілька оновлених файлів ланцюжка сертифікатів
    1. Якщо CA надав окремі проміжні сертифікати, об'єднайте їх у один ланцюговий файл: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Інакше розмістіть файл одного ланцюга, наданий CA, на сервер Avamar у "/etc/apache2/ssl.crt/ca.crt"

 

Affected Products

Avamar

Products

Avamar
Article Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 13 Jan 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.