Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat
Summary: Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
När du försöker ansluta till NetWorker Virtual Edition (NVE), Avamar-servern eller Avamar Extended Retention-noden (AER) med hjälp av en webbläsare rapporterar webbläsaren ett nätverksanslutningsfel och vägrar att ansluta trots att Apache-webbservern på NVE-, Avamar-servern eller AER-noden fungerar normalt.
Cause
Stöd för SSL-certifikat signerade med SHA-1 har upphört av de stora webbläsarleverantörerna från och med den 1 januari 2017. Vissa standardcertifikat för NVE, Avamar och AER signeras med SHA-1.
Resolution
- Logga in på Avamar-verktygsnoden eller servern med en enskild nod som administratörsanvändare och kör sedan följande kommando för att växla till rotmiljön:
Su-
Not: Släpningen - är viktig!
Not: Släpningen - är viktig!
- Ändra kataloger till Apache-konfigurationskatalogen:
cd /etc/apache2
- Bekräfta att det aktuella certifikatet är signerat med SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha1WithRSAEncryption
Signaturalgoritm: sha1WithRSAEncryption
Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha1WithRSAEncryption
Signaturalgoritm: sha1WithRSAEncryption
Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren
- Säkerhetskopiera det befintliga certifikatet:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Generera en "begäran om certifikatsignering" från det befintliga certifikatet:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Hämtar begäran om privat nyckel
Generera certifikatbegäran
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Hämtar begäran om privat nyckel
Generera certifikatbegäran
- Kontrollera om certifikatet är självsignerat eller signerat av en certifikatutfärdare (CA-signerad):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Obs: Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.
Exempel på utdata för ett CA-signerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
CA Signed
Sample utdata för ett självsignerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Självsignerad
Obs: Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.
Exempel på utdata för ett CA-signerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
CA Signed
Sample utdata för ett självsignerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Självsignerad
- Generera och installera ersättningscertifikatet:
- För CA-signerade certifikat:
- Ge en kopia av begäran om certifikatsignering som genererades i steg 5 till certifikatutfärdaren och begär att de genererar ett ersättningscertifikat med hjälp av en stark signaturalgoritm. Begäran om certifikatsignering finns på /etc/apache2/ssl.csr/server.csr
- Placera det signerade certifikatet som tillhandahålls av certifikatutfärdaren på Avamar-servern i /etc/apache2/ssl.crt/server.crt
- Hoppa över steg 7b och fortsätt proceduren i steg 8
- För CA-signerade certifikat:
Obs! Om certifikatutfärdaren tillhandahöll uppdaterade certifikatkedjefiler tillsammans med det nya certifikatet, se bilaga A för instruktioner om hur du installerar dessa.
- För självsignerade certifikat:
- Generera och installera ett ersättningscertifikat
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -ut ssl.crt/server.crt -dagar 1825
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Bekräfta att det nya certifikatet är signerat med SHA-256 eller någon annan stark signaturalgoritm:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha256WithRSAEncryption
Signaturalgoritm: sha256WithRSAEncryption
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha256WithRSAEncryption
Signaturalgoritm: sha256WithRSAEncryption
- Starta om Apache-webbservern:
Omstart av
webbplatsenExempel på utdata:
root@avamar:/etc/apache2/#: website restart
===Stänger av webbplatsen Stänger av httpd2
(väntar på att alla underordnade ska avslutas) done
===Startar webbplatsen Startar httpd2
(prefork)
webbplatsenExempel på utdata:
root@avamar:/etc/apache2/#: website restart
===Stänger av webbplatsen Stänger av httpd2
(väntar på att alla underordnade ska avslutas) done
===Startar webbplatsen Startar httpd2
(prefork)
- Proceduren har slutförts
Additional Information
Bilaga A – Installera uppdaterade certifikatkedjefiler
- Skapa en kopia av den befintliga certifikatkedjan
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installera uppdaterade certifikatkedjefiler
- Om certifikatutfärdaren har tillhandahållit separata mellanliggande certifikat kombinerar du dem till en enda kedjefil:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- I annat fall placerar du den enskilda kedjefilen som tillhandahålls av certifikatutfärdaren på Avamar-servern i /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.