Avamar: Cómo reemplazar el certificado SSL firmado SHA-1 de Apache Web Server
Summary: Avamar: Cómo reemplazar el certificado SSL firmado SHA-1 de Apache Web Server
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Cuando se intenta conectar al nodo de NetWorker Virtual Edition (NVE), el servidor Avamar o Avamar Extended Retention (AER) mediante un navegador web, el navegador informa un error de conectividad de red y rechaza la conexión, a pesar de que Apache Web Server en NVE, el servidor Avamar o el nodo de AER funcionan con normalidad.
Cause
El soporte para certificados SSL firmados mediante SHA-1 finalizó por parte de los principales proveedores de navegadores web a partir del 1 de enero de 2017. Algunos certificados predeterminados de NVE, Avamar y AER están firmados mediante SHA-1.
Resolution
- Inicie sesión en el nodo de utilidad o en el servidor de nodo único de Avamar como usuario administrador y, a continuación, ejecute el siguiente comando para cambiar a root:
su -
Nota: ¡El arrastre es importante!
Nota: ¡El arrastre es importante!
- Cambie los directorios al directorio de configuración de Apache:
cd /etc/apache2
- Confirme que el certificado actual esté firmado mediante SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha1WithRSAEncryption Algoritmo de
firma: sha1WithRSAEncryption
Nota: Si el algoritmo de firma no se informa como SHA-1, no continúe con este procedimiento
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha1WithRSAEncryption Algoritmo de
firma: sha1WithRSAEncryption
Nota: Si el algoritmo de firma no se informa como SHA-1, no continúe con este procedimiento
- Respalde el certificado existente:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Genere una "solicitud de firma de certificado" a partir del certificado existente:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Obtención de la solicitud Clave
privada Generación de la solicitud de certificado
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Obtención de la solicitud Clave
privada Generación de la solicitud de certificado
- Compruebe si el certificado está autofirmado o firmado por una autoridad de certificación (firmado por una CA):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "Firmado por CA"
Nota: Este comando se debe ingresar en una sola línea. Todos los signos de puntuación son importantes. Se recomienda copiar y pegar.
Ejemplo de salida para un certificado firmado por una CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
CA Signed
Salida de muestra para un certificado autofirmado:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
Autofirmado
Nota: Este comando se debe ingresar en una sola línea. Todos los signos de puntuación son importantes. Se recomienda copiar y pegar.
Ejemplo de salida para un certificado firmado por una CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
CA Signed
Salida de muestra para un certificado autofirmado:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
Autofirmado
- Genere e instale el certificado de reemplazo:
- Para certificados firmados por una CA:
- Proporcione una copia de la solicitud de firma de certificado generada en el paso 5 a la autoridad de certificación y solicite que genere un certificado de reemplazo mediante un algoritmo de firma segura. La solicitud de firma de certificado se encuentra en /etc/apache2/ssl.csr/server.csr
- Coloque el certificado firmado proporcionado por la CA en el servidor Avamar en /etc/apache2/ssl.crt/server.crt
- Omita el paso 7b y continúe con el procedimiento del paso 8
- Para certificados firmados por una CA:
Nota: Si la CA proporcionó archivos de cadena de certificados actualizados junto con el nuevo certificado, consulte el Apéndice A para obtener instrucciones sobre cómo instalarlos.
- Para los certificados autofirmados:
- Generar e instalar un certificado de reemplazo
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Resultado de muestra:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Resultado de muestra:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Confirme que el nuevo certificado esté firmado mediante SHA-256 u otro algoritmo de firma segura:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha256WithRSAEncryption Algoritmo de
firma: sha256WithRSAEncryption
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha256WithRSAEncryption Algoritmo de
firma: sha256WithRSAEncryption
- Reinicie Apache Web Server:
Reinicio
del sitio webEjemplo de salida:
root@avamar:/etc/apache2/#: website restart
===Cerrando el sitio web
Cerrando httpd2 (esperando a que todos los hijos terminen) done
===Iniciando sitio web
Iniciando httpd2 (prefork)
del sitio webEjemplo de salida:
root@avamar:/etc/apache2/#: website restart
===Cerrando el sitio web
Cerrando httpd2 (esperando a que todos los hijos terminen) done
===Iniciando sitio web
Iniciando httpd2 (prefork)
- Procedimiento completado
Additional Information
Apéndice A: Instalación de archivos de cadena de certificados actualizados
- Crear una copia de la cadena de certificados existente
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Instalar archivo(s) de cadena de certificados actualizado(s)
- Si la CA proporcionó certificados intermedios separados, combínelos en un único archivo de cadena:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- De lo contrario, coloque el archivo de cadena única proporcionado por la CA en el servidor Avamar en /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.