Avamar: Jak nahradit certifikát SSL podepsaný SHA-1 webového serveru Apache
Summary: Avamar: Jak nahradit certifikát SSL podepsaný SHA-1 webového serveru Apache
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Při pokusu o připojení k uzlu NetWorker Virtual Edition (NVE), serveru Avamar nebo uzlu Avamar Extended Retention (AER) pomocí webového prohlížeče prohlížeč nahlásí chybu připojení k síti a odmítne se připojit, i když webový server Apache na uzlu NVE, serveru Avamar nebo uzlu AER funguje normálně.
Cause
S účinností od 1. ledna 2017 ukončili hlavní dodavatelé webových prohlížečů podporu certifikátů SSL podepsaných pomocí algoritmu SHA-1. Některé výchozí certifikáty NVE, Avamar a AER jsou podepsány pomocí SHA-1.
Resolution
- Přihlaste se k uzlu utility Avamar nebo k serveru s jedním uzlem jako uživatel admin a poté spuštěním následujícího příkazu přepněte na uživatele root:
Su-
Poznámka: Koncovka - je důležitá!
Poznámka: Koncovka - je důležitá!
- Změňte adresáře do konfiguračního adresáře Apache:
cd /etc/apache2
- Ověřte, že je aktuální certifikát podepsán pomocí SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Podpis"
: sha1WithRSAEncryption
Algoritmus podpisu: sha1WithRSAEncryption
Poznámka: Není-li algoritmus podpisu hlášen jako SHA-1, nepokračujte v tomto postupu
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Podpis"
: sha1WithRSAEncryption
Algoritmus podpisu: sha1WithRSAEncryption
Poznámka: Není-li algoritmus podpisu hlášen jako SHA-1, nepokračujte v tomto postupu
- Zálohování stávajícího certifikátu:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'datum -I'
- Vygenerujte "požadavek na podpis certifikátu" ze stávajícího certifikátu:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Získání požadavku Soukromý klíč
Generování žádosti o certifikát
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Získání požadavku Soukromý klíč
Generování žádosti o certifikát
- Zkontrolujte, zda je certifikát podepsán držitelem nebo certifikační autoritou (podepsanou certifikační autoritou):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
Poznámka: Tento příkaz by měl být zadán na jednom řádku. Každá interpunkce je důležitá. Doporučuje se kopírovat a vkládat.
Ukázkový výstup pro certifikát podepsaný certifikační autoritou:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
CA Signed
Ukázkový výstup pro certifikát podepsaný svým držitelem:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
Podepsaný držitelem
Poznámka: Tento příkaz by měl být zadán na jednom řádku. Každá interpunkce je důležitá. Doporučuje se kopírovat a vkládat.
Ukázkový výstup pro certifikát podepsaný certifikační autoritou:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
CA Signed
Ukázkový výstup pro certifikát podepsaný svým držitelem:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Předmět: \|Emitent: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l' -eq "1" ] && echo "Podepsáno držitelem" || echo "CA Signed"
Podepsaný držitelem
- Vygenerujte a nainstalujte náhradní certifikát:
- Certifikáty podepsané certifikační autoritou:
- Poskytněte certifikační autoritě kopii žádosti o podpis certifikátu vygenerovaného v kroku 5 a požádejte ji o vygenerování náhradního certifikátu pomocí silného algoritmu podpisu. Požadavek na podpis certifikátu se nachází ve složce /etc/apache2/ssl.csr/server.csr
- Umístěte podepsaný certifikát poskytnutý certifikační autoritou na server Avamar do složky /etc/apache2/ssl.crt/server.crt
- Přeskočte krok 7b a pokračujte v postupu v kroku 8
- Certifikáty podepsané certifikační autoritou:
Poznámka: Pokud certifikační autorita poskytla aktualizované soubory řetězu certifikátů spolu s novým certifikátem, pokyny k jejich instalaci naleznete v Dodatku A.
- Certifikáty podepsané držitelem:
- Vygenerování a instalace náhradního certifikátu
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Podpis ok
subject =/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Podpis ok
subject =/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Ověřte, že je nový certifikát podepsán pomocí algoritmu SHA-256 nebo jiného silného algoritmu podpisu:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Signature"
: sha256WithRSAEnšifrovací
algoritmus podpisu: sha256WithRSAEnšifrování
Ukázkový výstup:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmus podpisu "Signature"
: sha256WithRSAEnšifrovací
algoritmus podpisu: sha256WithRSAEnšifrování
- Restartujte webový server Apache:
Restartování
webových stránekUkázkový výstup:
root@avamar:/etc/apache2/#: restart
webu===Vypnutí webu Vypnutí httpd2
(čekání na ukončení všech potomků) hotovo
===Spuštění webu
Spuštění httpd2 (prefork)
webových stránekUkázkový výstup:
root@avamar:/etc/apache2/#: restart
webu===Vypnutí webu Vypnutí httpd2
(čekání na ukončení všech potomků) hotovo
===Spuštění webu
Spuštění httpd2 (prefork)
- Řízení je dokončeno
Additional Information
Dodatek A – Instalace aktualizovaných souborů(ů) řetězu certifikátů
- Vytvoření kopie existujícího řetězu certifikátů
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'datum -I'
- Instalace aktualizovaných souborů řetězu certifikátů
- Pokud certifikační autorita poskytla samostatné zprostředkující certifikáty, zkombinujte je do jednoho řetězového souboru:
Cat Cert1 Cert2 Cert3 Cert4 > /etc/apache2/ssl.crt/ca.crt
- V opačném případě umístěte jeden řetězový soubor poskytnutý certifikační autoritou na server Avamar do umístění /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.