Avamar. Как заменить SSL-сертификат, подписанный SHA-1 веб-сервером Apache
Summary: Avamar. Как заменить SSL-сертификат, подписанный SHA-1 веб-сервером Apache
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
При попытке подключения к NetWorker Virtual Edition (NVE), серверу Avamar Server или узлу Avamar Extended Retention (AER) с помощью веб-браузера браузер сообщает об ошибке подключения к сети и отказывается подключаться, даже если веб-сервер Apache на сервере NVE, сервере Avamar или узле AER работает нормально.
Cause
С 1 января 2017 года основные поставщики веб-браузеров прекратили поддержку SSL-сертификатов, подписанных с использованием SHA-1. Некоторые сертификаты NVE, Avamar и AER по умолчанию подписаны с использованием SHA-1.
Resolution
- Войдите в служебный узел Avamar или на одноузловой сервер в качестве пользователя admin, затем выполните следующую команду, чтобы переключиться на пользователя root:
Су-
Заметка: Трейлинг - это важно!
Заметка: Трейлинг - это важно!
- Перейдите в каталог конфигурации Apache:
cd /etc/apache2
- Убедитесь, что текущий сертификат подписан с использованием SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Пример вывода:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Подпись"
Алгоритм подписи: sha1WithRSAEncryption
Алгоритм подписи: sha1WithRSAEncryption
Примечание. Если алгоритм подписи не отображается как SHA-1, не продолжайте выполнять эту процедуру
Пример вывода:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Подпись"
Алгоритм подписи: sha1WithRSAEncryption
Алгоритм подписи: sha1WithRSAEncryption
Примечание. Если алгоритм подписи не отображается как SHA-1, не продолжайте выполнять эту процедуру
- Создайте резервную копию существующего сертификата.
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Создайте «запрос подписи сертификата» на основе существующего сертификата.
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Пример выходных данных:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Получение закрытого ключа запроса
Создание запроса сертификата
Пример выходных данных:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Получение закрытого ключа запроса
Создание запроса сертификата
- Проверьте, является ли сертификат самозаверяющим или подписанным источником сертификатов (подписанным CA).
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Эмитент: " | sed 's/.*:\(.*\)/\1/' | Уник | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Примечание: Эта команда должна быть введена в одной строке. Все знаки препинания важны. Рекомендуется копировать и вставить.
Пример выходных данных для сертификата, подписанного ИС:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Эмитент: " | sed 's/.*:\(.*\)/\1/' | Уник | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed
Пример выходных данных для самозаверяющего сертификата:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Эмитент: " | sed 's/.*:\(.*\)/\1/' | Уник | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Самозаверяющий
Примечание: Эта команда должна быть введена в одной строке. Все знаки препинания важны. Рекомендуется копировать и вставить.
Пример выходных данных для сертификата, подписанного ИС:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Эмитент: " | sed 's/.*:\(.*\)/\1/' | Уник | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed
Пример выходных данных для самозаверяющего сертификата:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Эмитент: " | sed 's/.*:\(.*\)/\1/' | Уник | wc -l' -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Самозаверяющий
- Создайте и установите заменяющий сертификат.
- Для сертификатов, подписанных CA:
- Предоставьте источник сертификатов копию запроса на подпись сертификата, созданного на шаге 5, и попросите создать новый сертификат с использованием алгоритма строгой подписи. Запрос на подпись сертификата находится в каталоге /etc/apache2/ssl.csr/server.csr
- Поместите подписанный сертификат, предоставленный CA, на сервер Avamar в папку /etc/apache2/ssl.crt/server.crt
- Пропустите шаг 7b и продолжите процедуру с шага 8
- Для сертификатов, подписанных CA:
Примечание. Если CA предоставил обновленный файл(ы) цепочки сертификатов вместе с новым сертификатом, см. инструкции по их установке в Приложении A.
- Для самозаверяющих сертификатов:
- Создание и установка заменяющего сертификата
openssl x509 -sha256 -req -signkey ssl.key/server.key -вход ssl.csr/server.csr -выход ssl.crt/server.crt -дни 1825
Пример вывода:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Подпись в порядке
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Пример вывода:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Подпись в порядке
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Убедитесь, что новый сертификат подписан с использованием SHA-256 или другого алгоритма надежной подписи:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Пример выходных данных:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Алгоритм
подписи: sha256WithRSAEncryption
Алгоритм подписи: sha256WithRSAEncryption
Пример выходных данных:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Алгоритм
подписи: sha256WithRSAEncryption
Алгоритм подписи: sha256WithRSAEncryption
- Перезапустите веб-сервер Apache.
Перезапуск
сайтаПример вывода:
root@avamar:/etc/apache2/#: website restart
===Закрытие сайта Закрытие httpd2
(ожидание завершения работы всех дочерних элементов) done
===Запуск сайта
Запуск httpd2 (prefork)
сайтаПример вывода:
root@avamar:/etc/apache2/#: website restart
===Закрытие сайта Закрытие httpd2
(ожидание завершения работы всех дочерних элементов) done
===Запуск сайта
Запуск httpd2 (prefork)
- Процедура завершена
Additional Information
Приложение А. Установка обновленных файлов цепочки сертификатов
- Создание копии существующей цепочки сертификатов
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Установка обновленных файлов цепочки сертификатов
- Если CA предоставил отдельные промежуточные сертификаты, объедините их в один файл цепочки:
CAT cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- В противном случае поместите файл одной цепочки, предоставленный CA на сервере Avamar, в папку /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.