Avamar: Apache Web Server SHA-1 서명된 SSL 인증서를 교체하는 방법
Summary: Avamar: Apache Web Server SHA-1 서명된 SSL 인증서를 교체하는 방법
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
웹 브라우저를 사용하여 NVE(NetWorker Virtual Edition), Avamar Server 또는 Avamar AER(Avamar Extended Retention) 노드에 연결하려고 하면 NVE, Avamar Server 또는 AER 노드의 Apache Web Server가 정상적으로 작동하더라도 브라우저에서 네트워크 연결 오류를 보고하고 연결을 거부합니다.
Cause
2017년 1월 1일부로 주요 웹 브라우저 공급업체에서 SHA-1을 사용하여 서명된 SSL 인증서에 대한 지원이 종료되었습니다. 특정 기본 NVE, Avamar 및 AER 인증서는 SHA-1을 사용하여 서명됩니다.
Resolution
- Avamar 유틸리티 노드 또는 단일 노드 서버에 관리자 사용자로 로그인한 후 다음 명령을 실행하여 루트로 전환합니다.
수호-
메모: 후행 - 중요합니다!
메모: 후행 - 중요합니다!
- 디렉토리를 Apache 구성 디렉토리로 변경합니다.
cd /etc/아파치2
- 현재 인증서가 SHA-1을 사용하여 서명되었는지 확인합니다.
openssl x509 -in ssl.crt/server.crt -text -noout | grep "서명"
샘플 출력:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
서명 알고리즘: sha1WithRSAEncryption
서명 알고리즘: sha1WithRSAEncryption
참고: 서명 알고리즘이 SHA-1로 보고되지 않는 경우 이 절차를 계속하지 마십시오
샘플 출력:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
서명 알고리즘: sha1WithRSAEncryption
서명 알고리즘: sha1WithRSAEncryption
참고: 서명 알고리즘이 SHA-1로 보고되지 않는 경우 이 절차를 계속하지 마십시오
- 기존 인증서를 백업합니다.
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'날짜 -I'
- 기존 인증서에서 "인증서 서명 요청"을 생성합니다.
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
샘플 출력:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
요청 가져오기 개인 키
인증서 요청 생성
샘플 출력:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
요청 가져오기 개인 키
인증서 요청 생성
- 인증서가 자체 서명되었는지 또는 인증 기관(CA 서명)에서 서명했는지 확인합니다.
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "제목: \|발급자: " | sed 's/.*:\(.*\)/\1/' | 유니크 | wc -l' -eq "1" ] && echo "자체 서명" || echo "CA 서명"
참고: 이 명령은 한 줄로 입력해야 합니다. 모든 문장 부호가 중요합니다. 복사하여 붙여넣는 것이 좋습니다.
CA 서명 인증서에 대한 샘플 출력:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "제목: \|발급자: " | sed 's/.*:\(.*\)/\1/' | 유니크 | wc -l' -eq "1" ] && echo "자체 서명" || echo "CA 서명"
CA 서명
자체 서명 인증서에 대한 샘플 출력:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "제목: \|발급자: " | sed 's/.*:\(.*\)/\1/' | 유니크 | wc -l' -eq "1" ] && echo "자체 서명" || echo "CA 서명"
자체 서명
참고: 이 명령은 한 줄로 입력해야 합니다. 모든 문장 부호가 중요합니다. 복사하여 붙여넣는 것이 좋습니다.
CA 서명 인증서에 대한 샘플 출력:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "제목: \|발급자: " | sed 's/.*:\(.*\)/\1/' | 유니크 | wc -l' -eq "1" ] && echo "자체 서명" || echo "CA 서명"
CA 서명
자체 서명 인증서에 대한 샘플 출력:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "제목: \|발급자: " | sed 's/.*:\(.*\)/\1/' | 유니크 | wc -l' -eq "1" ] && echo "자체 서명" || echo "CA 서명"
자체 서명
- 교체 인증서를 생성하고 설치합니다.
- CA 서명 인증서의 경우:
- 5단계에서 생성된 인증서 서명 요청의 사본을 인증 기관에 제공하고 강력한 서명 알고리즘을 사용하여 대체 인증서를 생성하도록 요청합니다. 인증서 서명 요청은 /etc/apache2/ssl.csr/server.csr에 있습니다.
- CA에서 제공한 서명된 인증서를 Avamar Server의 /etc/apache2/ssl.crt/server.crt에 배치합니다.
- 7b 단계를 건너뛰고 8단계에서 절차를 계속합니다.
- CA 서명 인증서의 경우:
참고: CA에서 새 인증서와 함께 업데이트된 인증서 체인 파일을 제공한 경우 설치 방법에 대한 지침은 부록 A를 참조하십시오.
- 자체 서명된 인증서의 경우:
- 교체 인증서 생성 및 설치
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
샘플 출력:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
샘플 출력:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- SHA-256 또는 다른 강력한 서명 알고리즘을 사용하여 새 인증서에 서명되었는지 확인합니다.
openssl x509 -in ssl.crt/server.crt -text -noout | grep "서명"
샘플 출력 :
root@avamar : / etc / apache2 / # : openssl x509 -in ssl.crt / server.crt -text -noout | grep "Signature"
서명 알고리즘 : sha256WithRSAEncryption
서명 알고리즘 : sha256WithRSAEncryption
샘플 출력 :
root@avamar : / etc / apache2 / # : openssl x509 -in ssl.crt / server.crt -text -noout | grep "Signature"
서명 알고리즘 : sha256WithRSAEncryption
서명 알고리즘 : sha256WithRSAEncryption
- Apache Web Server를 다시 시작합니다.
웹 사이트 다시 시작
샘플 출력 :
root@avamar : / etc / apache2 / # : website restart
===웹 사이트
종료 httpd2 종료 (모든 자식이 종료되기를 기다리는 중) done
=== 웹 사이트
시작 httpd2 시작 (prefork)
샘플 출력 :
root@avamar : / etc / apache2 / # : website restart
===웹 사이트
종료 httpd2 종료 (모든 자식이 종료되기를 기다리는 중) done
=== 웹 사이트
시작 httpd2 시작 (prefork)
- 절차 완료
Additional Information
부록 A - 업데이트된 인증서 체인 파일 설치
- 기존 인증서 체인의 복사본 만들기
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- 업데이트된 인증서 체인 파일 설치
- CA에서 별도의 중간 인증서를 제공한 경우 단일 체인 파일로 결합합니다.
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- 그렇지 않으면 CA에서 제공하는 단일 체인 파일을 Avamar Server의 /etc/apache2/ssl.crt/ca.crt에 배치합니다
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.