Avamar: So ersetzen Sie das SHA-1-signierte SSL-Zertifikat von Apache Web Server
Summary: Avamar: So ersetzen Sie das SHA-1-signierte SSL-Zertifikat von Apache Web Server
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Beim Versuch, über einen Webbrowser eine Verbindung zum NetWorker Virtual Edition-(NVE-), Avamar-Server oder Avamar Extended Retention-(AER-)Node herzustellen, meldet der Browser einen Netzwerkverbindungsfehler und verweigert die Verbindung, obwohl der Apache-Webserver auf der NVE, dem Avamar-Server oder dem AER-Node normal funktioniert.
Cause
Die Unterstützung für SSL-Zertifikate, die mit SHA-1 signiert wurden, wurde von den wichtigsten Webbrowser-Anbietern zum 1. Januar 2017 eingestellt. Bestimmte standardmäßige NVE-, Avamar- und AER-Zertifikate werden mit SHA-1 signiert.
Resolution
- Melden Sie sich beim Avamar-Utility-Node oder Single-Node-Server als Admin-Nutzer an und führen Sie dann den folgenden Befehl aus, um zum Root-Nutzer zu wechseln:
Su-
Anmerkung: Das Trailing - ist wichtig!
Anmerkung: Das Trailing - ist wichtig!
- Wechseln Sie in das Apache-Konfigurationsverzeichnis:
cd /etc/apache2
- Vergewissern Sie sich, dass das aktuelle Zertifikat mit SHA-1 signiert ist:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha1WithRSAEncryption
Signaturalgorithmus: sha1WithRSAEncryption
Hinweis: Wenn der Signaturalgorithmus nicht als SHA-1 gemeldet wird, fahren Sie mit diesem Verfahren nicht fort
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha1WithRSAEncryption
Signaturalgorithmus: sha1WithRSAEncryption
Hinweis: Wenn der Signaturalgorithmus nicht als SHA-1 gemeldet wird, fahren Sie mit diesem Verfahren nicht fort
- Sichern Sie das vorhandene Zertifikat:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Erzeugen Sie eine "Zertifikatsignierungsanforderung" aus dem vorhandenen Zertifikat:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Anfordern des privaten Schlüssels
Zertifikatsanforderung wird generiert
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Anfordern des privaten Schlüssels
Zertifikatsanforderung wird generiert
- Überprüfen Sie, ob das Zertifikat selbstsigniert oder von einer Zertifizierungsstelle (CA-signiert) signiert ist:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA signiert"
Hinweis: Dieser Befehl sollte in einer einzigen Zeile eingegeben werden. Alle Interpunktionszeichen sind wichtig. Es wird empfohlen, sie zu kopieren und einzufügen.
Beispielausgabe für ein CA-signiertes Zertifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
CA Signed
Beispielausgabe für ein selbstsigniertes Zertifikat:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
Selbstsigniert
Hinweis: Dieser Befehl sollte in einer einzigen Zeile eingegeben werden. Alle Interpunktionszeichen sind wichtig. Es wird empfohlen, sie zu kopieren und einzufügen.
Beispielausgabe für ein CA-signiertes Zertifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
CA Signed
Beispielausgabe für ein selbstsigniertes Zertifikat:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
Selbstsigniert
- Erzeugen und installieren Sie das Ersatzzertifikat:
- Für CA-signierte Zertifikate:
- Stellen Sie der Zertifizierungsstelle eine Kopie der in Schritt 5 erzeugten Zertifikatsignieranforderung zur Verfügung und fordern Sie sie auf, ein Ersatzzertifikat mit einem starken Signaturalgorithmus zu erzeugen. Die Zertifikatsignieranforderung befindet sich unter /etc/apache2/ssl.csr/server.csr
- Legen Sie das signierte Zertifikat, das von der Zertifizierungsstelle bereitgestellt wurde, auf dem Avamar Server in /etc/apache2/ssl.crt/server.crt ab.
- Überspringen Sie Schritt 7b und fahren Sie mit dem Verfahren ab Schritt 8 fort
- Für CA-signierte Zertifikate:
Hinweis: Wenn die Zertifizierungsstelle aktualisierte Zertifikatskettendatei(en) zusammen mit dem neuen Zertifikat bereitgestellt hat, finden Sie in Anhang A Anweisungen zur Installation dieser Zertifikate.
- Für selbstsignierte Zertifikate:
- Erzeugen und Installieren eines Ersatzzertifikats
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Vergewissern Sie sich, dass das neue Zertifikat mit SHA-256 oder einem anderen starken Signaturalgorithmus signiert wurde:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha256WithRSAEncryption
Signaturalgorithmus: sha256WithRSAEncryption
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha256WithRSAEncryption
Signaturalgorithmus: sha256WithRSAEncryption
- Starten Sie den Apache Web Server neu:
Website-Neustart
Beispielausgabe:
root@avamar:/etc/apache2/#: website restart
===Herunterfahren der Website
Herunterfahren von httpd2 (warten auf die Beendigung aller untergeordneten Elemente) done
===Website starten
Starten von httpd2 (prefork)
Beispielausgabe:
root@avamar:/etc/apache2/#: website restart
===Herunterfahren der Website
Herunterfahren von httpd2 (warten auf die Beendigung aller untergeordneten Elemente) done
===Website starten
Starten von httpd2 (prefork)
- Verfahren abgeschlossen
Additional Information
Anhang A – Installieren aktualisierter Zertifikatskettendatei(en)
- Erstellen einer Kopie der vorhandenen Zertifikatskette
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Aktualisierte Zertifikatskettendatei(en) installieren
- Wenn die Zertifizierungsstelle separate Zwischenzertifikate bereitgestellt hat, kombinieren Sie sie in einer einzigen Kettendatei:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Legen Sie andernfalls die von der Zertifizierungsstelle bereitgestellte Single-Chain-Datei auf dem Avamar-Server in /etc/apache2/ssl.crt/ca.crt ab.
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.