Avamar: Kuinka korvata Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne
Summary: Avamar: Kuinka korvata Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Kun yrität muodostaa verkkoselaimella yhteyden NetWorker Virtual Edition (NVE)-, Avamar-palvelimeen tai Avamar Extended Retention (AER) -solmuun, selain ilmoittaa verkkoyhteysvirheestä eikä pysty muodostamaan yhteyttä, vaikka NVE-, Avamar- tai AER-solmun Apache-verkkopalvelin toimii normaalisti.
Cause
Suurimmat verkkoselaintoimittajat ovat lopettaneet SHA-1:llä allekirjoitettujen SSL-varmenteiden tuen 1.1.2017 alkaen. Tietyt NVE-, Avamar- ja AER-oletusvarmenteet allekirjoitetaan SHA-1:llä.
Resolution
- Kirjaudu Avamar-apusolmuun tai yhden solmun palvelimeen admin-käyttäjänä ja vaihda root-käyttäjäksi suorittamalla seuraava komento:
su -
Muistiinpano: Perässä - on tärkeää!
Muistiinpano: Perässä - on tärkeää!
- Vaihda hakemistot Apache-määrityshakemistoon:
cd /etc/apache2
- Varmista, että nykyinen varmenne on allekirjoitettu SHA-1:llä:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Allekirjoitus"
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Huomautus: Jos allekirjoitusalgoritmia ei ilmoiteta SHA-1:ksi, älä jatka tätä menettelyä
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Huomautus: Jos allekirjoitusalgoritmia ei ilmoiteta SHA-1:ksi, älä jatka tätä menettelyä
- Varmuuskopioi olemassa oleva varmenne:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Luo "varmenteen allekirjoituspyyntö" olemassa olevasta varmenteesta:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pyynnön vastaanottaminen Yksityinen avain
Varmennepyynnön luominen
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pyynnön vastaanottaminen Yksityinen avain
Varmennepyynnön luominen
- Tarkista, onko varmenne itse allekirjoitettu vai varmenteen myöntäjän allekirjoittama (CA-allekirjoitettu):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || kaiku "CA allekirjoitettu"
Huomautus: Tämä komento on annettava yhdelle riville. Kaikki välimerkit ovat tärkeitä. On suositeltavaa kopioida ja liittää.
Varmenteen myöntäjän allekirjoittaman varmenteen näytetulos:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA Signed"
CA Signed
Sample output itse allekirjoitetulle varmenteelle:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA allekirjoitettu"
Itse allekirjoitettu
Huomautus: Tämä komento on annettava yhdelle riville. Kaikki välimerkit ovat tärkeitä. On suositeltavaa kopioida ja liittää.
Varmenteen myöntäjän allekirjoittaman varmenteen näytetulos:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA Signed"
CA Signed
Sample output itse allekirjoitetulle varmenteelle:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA allekirjoitettu"
Itse allekirjoitettu
- Luo ja asenna vaihtovarmenne:
- CA-allekirjoitetut varmenteet:
- Anna varmenteen myöntäjälle kopio vaiheessa 5 luodusta varmenteen allekirjoituspyynnöstä ja pyydä, että se luo korvaavan varmenteen vahvaa allekirjoitusalgoritmia käyttäen. Varmenteen allekirjoituspyyntö sijaitsee osoitteessa /etc/apache2/ssl.csr/server.csr
- Aseta varmenteiden myöntäjän antama allekirjoitettu varmenne Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/server.crt
- Ohita vaihe 7b ja jatka vaiheen 8 menettelyä
- CA-allekirjoitetut varmenteet:
Huomautus: Jos varmenteen myöntäjä toimitti päivitetyt varmenneketjutiedostot uuden varmenteen mukana, katso niiden asennusohjeet liitteestä A.
- Itse allekirjoitetut varmenteet:
- Luo ja asenna korvaava varmenne
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -päivää 1825
Näytteen tulos:root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Allekirjoitus ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Näytteen tulos:root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Allekirjoitus ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Varmista, että uusi varmenne on allekirjoitettu SHA-256:lla tai muulla vahvalla allekirjoitusalgoritmilla:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Allekirjoitus"
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
-allekirjoitusalgoritmi: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
-allekirjoitusalgoritmi: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
- Käynnistä Apache-verkkopalvelin uudelleen:
Verkkosivuston uudelleenkäynnistys
Näytteen tulos:
root@avamar:/etc/apache2/#: verkkosivuston uudelleenkäynnistys
===Verkkosivuston
sulkeminen httpd2: n sulkeminen (odottaa kaikkien lasten lopettamista) valmis
===Verkkosivuston
käynnistäminen Aloitus httpd2 (prefork)
Näytteen tulos:
root@avamar:/etc/apache2/#: verkkosivuston uudelleenkäynnistys
===Verkkosivuston
sulkeminen httpd2: n sulkeminen (odottaa kaikkien lasten lopettamista) valmis
===Verkkosivuston
käynnistäminen Aloitus httpd2 (prefork)
- Menettely valmis
Additional Information
Liite A - Päivitettyjen varmenneketjutiedostojen asentaminen
- Kopion luominen olemassa olevasta varmenneketjusta
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Päivitettyjen varmenneketjutiedostojen asentaminen
- Jos varmentaja on toimittanut erillisiä välivarmenteita, yhdistä ne yhdeksi ketjutiedostoksi:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Muussa tapauksessa aseta varmentajan toimittama yksiketjuinen tiedosto Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.