Avamar: Sådan udskiftes Apache Web Server SHA-1-signeret SSL-certifikat

Når du forsøger at oprette forbindelse til NetWorker Virtual Edition (NVE), Avamar-serveren eller Avamar Extended Retention (AER)-noden ved hjælp af en webbrowser, rapporterer browseren en netværksforbindelsesfejl og nægter at oprette forbindelse, selvom Apache-webserveren på NVE-, Avamar-serveren eller AER-noden fungerer normalt.

Support til SSL-certifikater, der er signeret ved hjælp af SHA-1, er blevet opsagt af de største webbrowserleverandører med virkning fra 1. januar 2017. Visse standard NVE-, Avamar- og AER-certifikater er signeret ved hjælp af SHA-1.

1. Log på Avamar Utility Node eller serveren med en enkelt node som administratorbruger, og kør derefter følgende kommando for at skifte til rod:

   su -

   Bemærk: Den efterfølgende - er vigtig!

2. Skift mapperne til Apache-konfigurationsmappen:

   cd /etc/apache2

3. Bekræft, at det aktuelle certifikat er signeret ved hjælp af SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Eksempel på output:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Bemærk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, skal du ikke fortsætte med denne procedure

4. Sikkerhedskopier det eksisterende certifikat:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Generer en "anmodning om certifikatsignering" fra det eksisterende certifikat:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Eksempel på output:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Kontrollér, om certifikatet er selvsigneret eller signeret af et nøglecenter (CA-signeret):

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Bemærk: Denne kommando skal indtastes på en enkelt linje. Al tegnsætning er vigtig. Det anbefales at kopiere og indsætte.

   Eksempel på output for et CA-signeret certifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Eksempel på output for et selvsigneret certifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Generer og installer erstatningscertifikatet:

   1. For CA-signerede certifikater:
      1. Giv en kopi af anmodningen om certifikatsignering, der blev genereret i trin 5, til nøglecenteret, og anmod om, at de genererer et erstatningscertifikat ved hjælp af en stærk signaturalgoritme. Anmodningen om certifikatsignering findes på "/etc/apache2/ssl.csr/server.csr"
      2. Placer det signerede certifikat fra nøglecenteret på Avamar-serveren i "/etc/apache2/ssl.crt/server.crt"
      3. Spring trin 7b over, og fortsæt proceduren i trin 8
      Bemærk: Hvis nøglecenteret leverede en eller flere opdaterede certifikatkædefiler sammen med det nye certifikat, skal du se appendiks A for at få vejledning i, hvordan du installerer disse.
   2. For selvsignerede certifikater:
      1. Oprette og installere et erstatningscertifikat

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Eksempel på output:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Bekræft, at det nye certifikat er signeret ved hjælp af SHA-256 eller en anden stærk signaturalgoritme:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Eksempel på output:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Genstart Apache-webserveren:

   website restart

   Eksempel på output:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Proceduren er fuldført

Appendiks A - Installation af opdateret en eller flere certifikatkædefiler

1. Oprette en kopi af den eksisterende certifikatkæde

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Installere en eller flere opdaterede certifikatkædefiler
   1. Hvis nøglecenteret har leveret separate mellemliggende certifikater, kombineres de i en enkelt kædefil:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. Ellers skal du placere den enkeltkædede fil, der leveres af nøglecenteret, på Avamar-serveren i "/etc/apache2/ssl.crt/ca.crt"