Avamar: Kuinka korvata Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne
Yhteenveto: Avamar: Kuinka korvata Apache Web Server SHA-1 -allekirjoitettu SSL-varmenne
Tämä artikkeli koskee tuotetta
Tämä artikkeli ei koske tuotetta
Tämä artikkeli ei liity tiettyyn tuotteeseen.
Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.
Oireet
Kun yrität muodostaa verkkoselaimella yhteyden NetWorker Virtual Edition (NVE)-, Avamar-palvelimeen tai Avamar Extended Retention (AER) -solmuun, selain ilmoittaa verkkoyhteysvirheestä eikä pysty muodostamaan yhteyttä, vaikka NVE-, Avamar- tai AER-solmun Apache-verkkopalvelin toimii normaalisti.
Syy
Suurimmat verkkoselaintoimittajat ovat lopettaneet SHA-1:llä allekirjoitettujen SSL-varmenteiden tuen 1.1.2017 alkaen. Tietyt NVE-, Avamar- ja AER-oletusvarmenteet allekirjoitetaan SHA-1:llä.
Tarkkuus
- Kirjaudu Avamar-apusolmuun tai yhden solmun palvelimeen admin-käyttäjänä ja vaihda root-käyttäjäksi suorittamalla seuraava komento:
su -
Muistiinpano: Perässä - on tärkeää!
Muistiinpano: Perässä - on tärkeää!
- Vaihda hakemistot Apache-määrityshakemistoon:
cd /etc/apache2
- Varmista, että nykyinen varmenne on allekirjoitettu SHA-1:llä:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Allekirjoitus"
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Huomautus: Jos allekirjoitusalgoritmia ei ilmoiteta SHA-1:ksi, älä jatka tätä menettelyä
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Huomautus: Jos allekirjoitusalgoritmia ei ilmoiteta SHA-1:ksi, älä jatka tätä menettelyä
- Varmuuskopioi olemassa oleva varmenne:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Luo "varmenteen allekirjoituspyyntö" olemassa olevasta varmenteesta:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pyynnön vastaanottaminen Yksityinen avain
Varmennepyynnön luominen
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pyynnön vastaanottaminen Yksityinen avain
Varmennepyynnön luominen
- Tarkista, onko varmenne itse allekirjoitettu vai varmenteen myöntäjän allekirjoittama (CA-allekirjoitettu):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || kaiku "CA allekirjoitettu"
Huomautus: Tämä komento on annettava yhdelle riville. Kaikki välimerkit ovat tärkeitä. On suositeltavaa kopioida ja liittää.
Varmenteen myöntäjän allekirjoittaman varmenteen näytetulos:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA Signed"
CA Signed
Sample output itse allekirjoitetulle varmenteelle:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA allekirjoitettu"
Itse allekirjoitettu
Huomautus: Tämä komento on annettava yhdelle riville. Kaikki välimerkit ovat tärkeitä. On suositeltavaa kopioida ja liittää.
Varmenteen myöntäjän allekirjoittaman varmenteen näytetulos:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA Signed"
CA Signed
Sample output itse allekirjoitetulle varmenteelle:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Aihe: \|Liikkeellelaskija: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & kaiku "Itse allekirjoitettu" || echo "CA allekirjoitettu"
Itse allekirjoitettu
- Luo ja asenna vaihtovarmenne:
- CA-allekirjoitetut varmenteet:
- Anna varmenteen myöntäjälle kopio vaiheessa 5 luodusta varmenteen allekirjoituspyynnöstä ja pyydä, että se luo korvaavan varmenteen vahvaa allekirjoitusalgoritmia käyttäen. Varmenteen allekirjoituspyyntö sijaitsee osoitteessa /etc/apache2/ssl.csr/server.csr
- Aseta varmenteiden myöntäjän antama allekirjoitettu varmenne Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/server.crt
- Ohita vaihe 7b ja jatka vaiheen 8 menettelyä
- CA-allekirjoitetut varmenteet:
Huomautus: Jos varmenteen myöntäjä toimitti päivitetyt varmenneketjutiedostot uuden varmenteen mukana, katso niiden asennusohjeet liitteestä A.
- Itse allekirjoitetut varmenteet:
- Luo ja asenna korvaava varmenne
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -päivää 1825
Näytteen tulos:root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Allekirjoitus ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Näytteen tulos:root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Allekirjoitus ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Varmista, että uusi varmenne on allekirjoitettu SHA-256:lla tai muulla vahvalla allekirjoitusalgoritmilla:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Allekirjoitus"
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
-allekirjoitusalgoritmi: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
Näytteen tulos:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
-allekirjoitusalgoritmi: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
- Käynnistä Apache-verkkopalvelin uudelleen:
Verkkosivuston uudelleenkäynnistys
Näytteen tulos:
root@avamar:/etc/apache2/#: verkkosivuston uudelleenkäynnistys
===Verkkosivuston
sulkeminen httpd2: n sulkeminen (odottaa kaikkien lasten lopettamista) valmis
===Verkkosivuston
käynnistäminen Aloitus httpd2 (prefork)
Näytteen tulos:
root@avamar:/etc/apache2/#: verkkosivuston uudelleenkäynnistys
===Verkkosivuston
sulkeminen httpd2: n sulkeminen (odottaa kaikkien lasten lopettamista) valmis
===Verkkosivuston
käynnistäminen Aloitus httpd2 (prefork)
- Menettely valmis
Lisätietoja
Liite A - Päivitettyjen varmenneketjutiedostojen asentaminen
- Kopion luominen olemassa olevasta varmenneketjusta
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Päivitettyjen varmenneketjutiedostojen asentaminen
- Jos varmentaja on toimittanut erillisiä välivarmenteita, yhdistä ne yhdeksi ketjutiedostoksi:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Muussa tapauksessa aseta varmentajan toimittama yksiketjuinen tiedosto Avamar-palvelimeen kansioon /etc/apache2/ssl.crt/ca.crt
Tuotteet, joihin vaikutus kohdistuu
AvamarTuotteet
AvamarArtikkelin ominaisuudet
Artikkelin numero: 000170753
Artikkelin tyyppi: Solution
Viimeksi muutettu: 13 tammik. 2026
Versio: 5
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.