Avamar: Jak wymienić certyfikat SSL podpisany SHA-1 serwera WWW Apache
Summary: Avamar: Jak wymienić certyfikat SSL podpisany SHA-1 serwera WWW Apache
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Podczas próby połączenia się z węzłem NetWorker Virtual Edition (NVE), serwerem Avamar lub węzłem Avamar Extended Retention (AER) przy użyciu przeglądarki internetowej przeglądarka zgłasza błąd łączności sieciowej i odmawia połączenia, mimo że serwer WWW Apache na węźle NVE, Avamar lub AER działa normalnie.
Cause
Obsługa certyfikatów SSL podpisanych przy użyciu algorytmu SHA-1 została zakończona przez głównych dostawców przeglądarek internetowych z dniem 1 stycznia 2017 r. Niektóre domyślne certyfikaty NVE, Avamar i AER są podpisywane przy użyciu algorytmu SHA-1.
Resolution
- Zaloguj się do węzła narzędzia Avamar lub serwera z jednym węzłem jako użytkownik administrator, a następnie uruchom następujące polecenie, aby przełączyć się do katalogu głównego:
Su-
Nuta: Końcówka - jest ważna!
Nuta: Końcówka - jest ważna!
- Zmień katalogi na katalog konfiguracyjny Apache:
cd /etc/apache2
- Upewnij się, że bieżący certyfikat jest podpisany przy użyciu algorytmu SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha1WithRSAEncryption
Algorytm podpisu: sha1WithRSAEncryption
Uwaga: Jeśli algorytm podpisu nie jest zgłaszany jako SHA-1, nie kontynuuj tej procedury
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha1WithRSAEncryption
Algorytm podpisu: sha1WithRSAEncryption
Uwaga: Jeśli algorytm podpisu nie jest zgłaszany jako SHA-1, nie kontynuuj tej procedury
- Utwórz kopię zapasową istniejącego certyfikatu:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'data -I'
- Wygeneruj żądanie podpisania certyfikatu na podstawie istniejącego certyfikatu:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pobieranie żądania klucza
prywatnego Żądanie certyfikatu
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pobieranie żądania klucza
prywatnego Żądanie certyfikatu
- Sprawdź, czy certyfikat jest podpisany samodzielnie, czy przez urząd certyfikacji (podpisany przez CA):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "Podpisano CA"
Uwaga: To polecenie należy wprowadzić w jednym wierszu. Wszystkie znaki interpunkcyjne są ważne. Zaleca się kopiowanie i wklejanie.
Przykładowe dane wyjściowe dla certyfikatu podpisanego przez instytucję certyfikującą:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
CA Signed
Przykładowe dane wyjściowe dla certyfikatu z podpisem własnym:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
Z podpisem własnym
Uwaga: To polecenie należy wprowadzić w jednym wierszu. Wszystkie znaki interpunkcyjne są ważne. Zaleca się kopiowanie i wklejanie.
Przykładowe dane wyjściowe dla certyfikatu podpisanego przez instytucję certyfikującą:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
CA Signed
Przykładowe dane wyjściowe dla certyfikatu z podpisem własnym:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
Z podpisem własnym
- Wygeneruj i zainstaluj certyfikat zastępczy:
- W przypadku certyfikatów podpisanych przez instytucję certyfikującą:
- Przekaż urzędzie certyfikacji kopię żądania podpisania certyfikatu wygenerowanego w kroku 5 i poproś o wygenerowanie certyfikatu zastępczego przy użyciu algorytmu silnego podpisu. Żądanie podpisania certyfikatu znajduje się w /etc/apache2/ssl.csr/server.csr
- Umieść podpisany certyfikat dostarczony przez urząd certyfikacji na serwerze Avamar w katalogu /etc/apache2/ssl.crt/server.crt
- Pomiń krok 7b i kontynuuj procedurę od kroku 8
- W przypadku certyfikatów podpisanych przez instytucję certyfikującą:
Uwaga: Jeśli urząd certyfikacji dostarczył zaktualizowane pliki łańcucha certyfikatów wraz z nowym certyfikatem, zapoznaj się z dodatkiem A, aby uzyskać instrukcje dotyczące ich instalacji.
- W przypadku certyfikatów z podpisem własnym:
- Generowanie i instalowanie certyfikatu zastępczego
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Upewnij się, że nowy certyfikat jest podpisany przy użyciu algorytmu SHA-256 lub innego algorytmu silnego podpisu:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha256WithRSAEncryption
Algorytm podpisu: sha256WithRSAEncryption
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha256WithRSAEncryption
Algorytm podpisu: sha256WithRSAEncryption
- Uruchom ponownie serwer WWW Apache:
Ponowne uruchomienie
witrynyPrzykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: restart
strony ===Zamykanie strony Zamykanie strony
httpd2 (oczekiwanie na zakończenie działania wszystkich dzieci) zrobione
===Uruchamianie strony Uruchamianie httpd2
(prefork)
witrynyPrzykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: restart
strony ===Zamykanie strony Zamykanie strony
httpd2 (oczekiwanie na zakończenie działania wszystkich dzieci) zrobione
===Uruchamianie strony Uruchamianie httpd2
(prefork)
- Procedura zakończona
Additional Information
Dodatek A - Instalowanie zaktualizowanego pliku(-ów) łańcucha certyfikatów
- Utwórz kopię istniejącego łańcucha certyfikatów
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Zainstaluj zaktualizowane pliki łańcucha certyfikatów
- Jeśli urząd certyfikacji dostarczył oddzielne certyfikaty pośrednie, połącz je w jeden plik łańcuchowy:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- W przeciwnym razie umieść pojedynczy plik łańcuchowy dostarczony przez CA na serwerze Avamar w /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.