Avamar: Sådan udskiftes Apache Web Server SHA-1-signeret SSL-certifikat

Summary: Denne artikel forklarer, hvordan du erstatter Apache Web Server SHA-1-signeret SSL-certifikat.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Når du forsøger at oprette forbindelse til NetWorker Virtual Edition (NVE), Avamar-serveren eller Avamar Extended Retention (AER)-noden ved hjælp af en webbrowser, rapporterer browseren en netværksforbindelsesfejl og nægter at oprette forbindelse, selvom Apache-webserveren på NVE-, Avamar-serveren eller AER-noden fungerer normalt.

 

Cause

Support til SSL-certifikater, der er signeret ved hjælp af SHA-1, er blevet opsagt af de største webbrowserleverandører med virkning fra 1. januar 2017. Visse standard NVE-, Avamar- og AER-certifikater er signeret ved hjælp af SHA-1.

 

Resolution

  1. Log på Avamar Utility Node eller serveren med en enkelt node som administratorbruger, og kør derefter følgende kommando for at skifte til rod:

    su -
    Bemærk: Den efterfølgende - er vigtig!

  2. Skift mapperne til Apache-konfigurationsmappen:

    cd /etc/apache2

  3. Bekræft, at det aktuelle certifikat er signeret ved hjælp af SHA-1:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Eksempel på output:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Bemærk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, skal du ikke fortsætte med denne procedure

  4. Sikkerhedskopier det eksisterende certifikat:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Generer en "anmodning om certifikatsignering" fra det eksisterende certifikat:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Eksempel på output:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Kontrollér, om certifikatet er selvsigneret eller signeret af et nøglecenter (CA-signeret):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Bemærk: Denne kommando skal indtastes på en enkelt linje. Al tegnsætning er vigtig. Det anbefales at kopiere og indsætte.

    Eksempel på output for et CA-signeret certifikat:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Eksempel på output for et selvsigneret certifikat:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Generer og installer erstatningscertifikatet:

    1. For CA-signerede certifikater:
      1. Giv en kopi af anmodningen om certifikatsignering, der blev genereret i trin 5, til nøglecenteret, og anmod om, at de genererer et erstatningscertifikat ved hjælp af en stærk signaturalgoritme. Anmodningen om certifikatsignering findes på "/etc/apache2/ssl.csr/server.csr"
      2. Placer det signerede certifikat fra nøglecenteret på Avamar-serveren i "/etc/apache2/ssl.crt/server.crt"
      3. Spring trin 7b over, og fortsæt proceduren i trin 8
      Bemærk: Hvis nøglecenteret leverede en eller flere opdaterede certifikatkædefiler sammen med det nye certifikat, skal du se appendiks A for at få vejledning i, hvordan du installerer disse.
    2. For selvsignerede certifikater:
      1. Oprette og installere et erstatningscertifikat 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Eksempel på output: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Bekræft, at det nye certifikat er signeret ved hjælp af SHA-256 eller en anden stærk signaturalgoritme:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Eksempel på output:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Genstart Apache-webserveren:

    website restart

    Eksempel på output:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Proceduren er fuldført

 

Additional Information

Appendiks A - Installation af opdateret en eller flere certifikatkædefiler

  1. Oprette en kopi af den eksisterende certifikatkæde

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Installere en eller flere opdaterede certifikatkædefiler
    1. Hvis nøglecenteret har leveret separate mellemliggende certifikater, kombineres de i en enkelt kædefil: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Ellers skal du placere den enkeltkædede fil, der leveres af nøglecenteret, på Avamar-serveren i "/etc/apache2/ssl.crt/ca.crt"

 

Affected Products

Avamar

Products

Avamar
Article Properties
Article Number: 000170753
Article Type: Solution
Last Modified: 13 Jan 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.