Авамар: Як замінити SSL-сертифікат Apache Web Server з підписом SHA-1
Summary: Авамар: Як замінити SSL-сертифікат Apache Web Server з підписом SHA-1
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
При спробі підключитися до вузла NetWorker Virtual Edition (NVE), Avamar або Avamar Extended Retention (AER) за допомогою веб-браузера браузер повідомляє про помилку підключення до мережі і відмовляється підключатися, навіть якщо веб-сервер Apache на NVE, сервері Avamar або вузлі AER працює нормально.
Cause
Підтримка сертифікатів SSL, підписаних за допомогою SHA-1, була припинена основними постачальниками веб-браузерів з 1 січня 2017 року. Деякі сертифікати NVE, Avamar і AER за замовчуванням підписуються за допомогою протоколу SHA-1.
Resolution
- Увійдіть в утиліту Avamar або сервер з одним вузлом як користувач адміністратора, а потім виконайте наступну команду, щоб переключитися на root:
Су-
Примітка: Задня частина - це важливо!
Примітка: Задня частина - це важливо!
- Змініть директорії в директорію конфігурації Apache:
CD /etc/apache2
- Переконайтеся, що поточний сертифікат підписано за допомогою SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Підпис"
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha1WithRSAEncryption
Алгоритм підпису: sha1WithRSAEncryption
Примітка. Якщо алгоритм підпису не вказано як SHA-1, не продовжуйте цю процедуру
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha1WithRSAEncryption
Алгоритм підпису: sha1WithRSAEncryption
Примітка. Якщо алгоритм підпису не вказано як SHA-1, не продовжуйте цю процедуру
- Створіть резервну копію існуючого сертифіката:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Згенеруйте "запит на підписання сертифіката" з існуючого сертифіката:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Отримання запиту Запит на генерацію приватного ключа
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Отримання запиту Запит на генерацію приватного ключа
- Перевірте, чи сертифікат підписано самостійно або підписано центром сертифікації (підписано ЦС):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || відлуння "ЦС підписано"
Примітка: Цю команду слід вводити в одному рядку. Всі розділові знаки важливі. Рекомендується копіювати і вставляти.
Приклад виводу для сертифіката, підписаного CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || echo "CA Signed"
CA Signed
Sample вихід для самопідписаного сертифіката:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || відлуння "ЦС Підписано"
Самопідписано
Примітка: Цю команду слід вводити в одному рядку. Всі розділові знаки важливі. Рекомендується копіювати і вставляти.
Приклад виводу для сертифіката, підписаного CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || echo "CA Signed"
CA Signed
Sample вихід для самопідписаного сертифіката:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || відлуння "ЦС Підписано"
Самопідписано
- Згенеруйте та встановіть сертифікат заміни:
- Для сертифікатів CA Signed:
- Надайте копію запиту на підписування сертифіката, згенерованого на кроці 5, до центру сертифікації та попросіть його створити сертифікат для заміни за допомогою надійного алгоритму підпису. Запит на підписання сертифіката знаходиться за адресою /etc/apache2/ssl.csr/server.csr
- Розмістіть підписаний сертифікат, наданий ЦС, на сервері Avamar у /etc/apache2/ssl.crt/server.crt
- Пропустіть крок 7b і продовжіть процедуру на кроці 8
- Для сертифікатів CA Signed:
Примітка: Якщо ЦС надав оновлений файл(и) ланцюжка сертифікатів разом із новим сертифікатом, зверніться до Додатка А, щоб отримати інструкції щодо їх встановлення.
- Для самопідписаних сертифікатів:
- Згенеруйте та встановіть сертифікат на заміну
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -днів 1825
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -днів 1825
Підпис ок тема
=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -днів 1825
Підпис ок тема
=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Переконайтеся, що новий сертифікат підписано за допомогою SHA-256 або іншого надійного алгоритму підпису.
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Підпис"
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha256WithRSAEncryption
Алгоритм підпису: sha256WithRSAEncryption
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha256WithRSAEncryption
Алгоритм підпису: sha256WithRSAEncryption
- Перезавантажте веб-сервер Apache:
Перезавантаження
сайтуПриклад виведення:
root@avamar:/etc/apache2/#: перезапуск
веб-сайту===Вимкнення веб-сайту Вимкнення httpd2
(очікування завершення роботи всіх дочірніх елементів) done
===Запуск веб-сайту
Запуск httpd2 (prefork)
сайтуПриклад виведення:
root@avamar:/etc/apache2/#: перезапуск
веб-сайту===Вимкнення веб-сайту Вимкнення httpd2
(очікування завершення роботи всіх дочірніх елементів) done
===Запуск веб-сайту
Запуск httpd2 (prefork)
- Процедуру завершено
Additional Information
Додаток A - Встановлення оновленого(их) файлу(ів) ланцюга сертифікатів
- Створення копії існуючого ланцюжка сертифікатів
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Інсталяція оновленого файлу ланцюжка сертифікатів
- Якщо ЦС надав окремі проміжні сертифікати, об'єднайте їх в єдиний ланцюговий файл:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- В іншому випадку розмістіть файл одного ланцюга, наданий ЦС, на сервері Avamar у /etc/apache2/ssl.crt/ca.crt
Affected Products
AvamarProducts
AvamarArticle Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 05 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.