Авамар: Як замінити SSL-сертифікат Apache Web Server SHA-1

Summary: У цій статті пояснюється, як замінити SSL-сертифікат Apache Web Server SHA-1, підписаний.

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.
Consultați alte resurse

Symptoms

При спробі підключитися до NetWorker Virtual Edition (NVE), сервера Avamar або вузла Avamar Extended Retention (AER) через веб-браузер повідомляє про помилку мережевого підключення і відмовляється підключатися, навіть якщо веб-сервер Apache на NVE, сервері Avamar або вузлі AER працює нормально.

 

Cause

Підтримка SSL-сертифікатів, підписаних за допомогою SHA-1, була припинена основними виробниками веб-браузерів з 1 січня 2017 року. Деякі стандартні сертифікати NVE, Avamar та AER підписуються за допомогою SHA-1.

 

Resolution

  1. Увійдіть у Avamar Utility Node або сервер одного вузла як адміністратор, потім виконайте наступну команду для переключення на root:

    su -
    Примітка. Задня частина — дуже важлива!

  2. Змініть каталоги у каталог конфігурації Apache:

    cd /etc/apache2

  3. Підтверджіть, що поточний сертифікат підписаний за допомогою SHA-1:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Примітка. Якщо алгоритм підпису не вказаний як SHA-1, не проводити цю процедуру

  4. Резервна копія існуючого сертифіката:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Згенеруйте «запит на підписання сертифіката» з існуючого сертифіката:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Перевірте, чи є сертифікат самопідписаним або підписаним Сертифікаційним центром (CA підписаний):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Примітка. Цю команду слід вводити одним рядком. Усі пунктуації важливі. Рекомендується копіювати та вставляти.

    Зразок результату сертифіката, підписаного CA:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Зразок виводу для самопідписаного сертифіката:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Згенеруйте та встановіть сертифікат заміни:

    1. Для сертифікатів, підписаних CA:
      1. Надайте копію запиту на підписання сертифіката, згенерованого на кроці 5, Центру сертифікації та попросіть створити замінний сертифікат за допомогою потужного алгоритму підпису. Запит на підписання сертифіката знаходиться за адресою "/etc/apache2/ssl.csr/server.csr"
      2. Розмістіть підписаний сертифікат, наданий CA, на сервері Avamar у "/etc/apache2/ssl.crt/server.crt"
      3. Пропустіть крок 7b і продовжуйте процедуру на етапі 8
      Примітка. Якщо CA надав один або кілька оновлених файлів ланцюга сертифікатів разом із новим сертифікатом, зверніться до Додатку A для інструкцій щодо їх встановлення.
    2. Для самопідписаних сертифікатів:
      1. Створіть і встановіть сертифікат заміни 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Вибірковий вихід: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Переконайтеся, що новий сертифікат підписаний за допомогою SHA-256 або іншого сильного алгоритму підпису:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Перезапустити веб-сервер Apache:

    website restart

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Процедура завершена

 

Additional Information

Додаток A — Встановлення оновленого одного або кількох файлів ланцюга сертифікатів

  1. Створіть копію існуючого ланцюга сертифікатів

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Встановіть один або кілька оновлених файлів ланцюжка сертифікатів
    1. Якщо CA надав окремі проміжні сертифікати, об'єднайте їх у один ланцюговий файл: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Інакше розмістіть файл одного ланцюга, наданий CA, на сервер Avamar у "/etc/apache2/ssl.crt/ca.crt"

 

Produse afectate

Avamar

Produse

Avamar
Proprietăți articol
Article Number: 000170753
Article Type: Solution
Ultima modificare: 13 Jan 2026
Version:  5
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.