Avamar: So ersetzen Sie das SHA-1-signierte SSL-Zertifikat von Apache Web Server

Beim Versuch, über einen Webbrowser eine Verbindung zum NetWorker Virtual Edition-(NVE-), Avamar-Server oder Avamar Extended Retention-(AER-)Node herzustellen, meldet der Browser einen Netzwerkverbindungsfehler und verweigert die Verbindung, obwohl der Apache-Webserver auf der NVE, dem Avamar-Server oder dem AER-Node normal funktioniert.

Die Unterstützung für SSL-Zertifikate, die mit SHA-1 signiert wurden, wurde von den wichtigsten Webbrowser-Anbietern zum 01. Januar 2017 eingestellt. Bestimmte standardmäßige NVE-, Avamar- und AER-Zertifikate werden mit SHA-1 signiert.

1. Melden Sie sich beim Avamar Utility Node oder Single-Node-Server als Admin-Nutzer an und führen Sie dann den folgenden Befehl aus, um zum Root-Nutzer zu wechseln:

   su -

   Hinweis: Das Trailing - ist wichtig!

2. Ändern Sie die Verzeichnisse in das Apache-Konfigurationsverzeichnis:

   cd /etc/apache2

3. Vergewissern Sie sich, dass das aktuelle Zertifikat mit SHA-1 signiert ist:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Beispielausgabe:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Hinweis: Wenn der Signaturalgorithmus nicht als SHA-1 gemeldet wird, fahren Sie nicht mit diesem Verfahren fort

4. Sichern Sie das vorhandene Zertifikat:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Erzeugen Sie eine "Zertifikatsignierungsanforderung" aus dem vorhandenen Zertifikat:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Beispielausgabe:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Überprüfen Sie, ob das Zertifikat selbstsigniert oder von einer Zertifizierungsstelle (CA-signiert) signiert ist:

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Hinweis: Dieser Befehl sollte in einer einzigen Zeile eingegeben werden. Alle Interpunktionszeichen sind wichtig. Es wird empfohlen, sie zu kopieren und einzufügen.

   Beispielausgabe für ein CA-signiertes Zertifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Beispielausgabe für ein selbstsigniertes Zertifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Erzeugen und installieren Sie das Ersatzzertifikat:

   1. Für CA-signierte Zertifikate:
      1. Stellen Sie der Zertifizierungsstelle eine Kopie der in Schritt 5 erzeugten Zertifikatsignieranforderung zur Verfügung und fordern Sie sie auf, ein Ersatzzertifikat mit einem starken Signaturalgorithmus zu erzeugen. Die Zertifikatsignieranforderung befindet sich unter "/etc/apache2/ssl.csr/server.csr".
      2. Legen Sie das signierte Zertifikat, das von der Zertifizierungsstelle bereitgestellt wurde, auf dem Avamar Server in "/etc/apache2/ssl.crt/server.crt" ab.
      3. Überspringen Sie Schritt 7b und fahren Sie mit dem Verfahren ab Schritt 8 fort
      Hinweis: Wenn die Zertifizierungsstelle eine oder mehrere aktualisierte Zertifikatskettendateien zusammen mit dem neuen Zertifikat bereitgestellt hat, finden Sie in Anhang A Anweisungen zur Installation dieser Dateien.
   2. Für selbstsignierte Zertifikate:
      1. Erzeugen und Installieren eines Ersatzzertifikats

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Beispielausgabe:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Vergewissern Sie sich, dass das neue Zertifikat mit SHA-256 oder einem anderen starken Signaturalgorithmus signiert wurde:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Beispielausgabe:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Starten Sie den Apache Web Server neu:

   website restart

   Beispielausgabe:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Verfahren abgeschlossen

Anhang A: Installieren einer oder mehrerer aktualisierter Zertifikatskettendateien

1. Erstellen einer Kopie der vorhandenen Zertifikatskette

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Installieren einer oder mehrerer aktualisierter Zertifikatskettendateien
   1. Wenn die Zertifizierungsstelle separate Zwischenzertifikate bereitgestellt hat, kombinieren Sie sie in einer einzigen Kettendatei:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. Legen Sie andernfalls die von der Zertifizierungsstelle bereitgestellte Single-Chain-Datei auf dem Avamar-Server in "/etc/apache2/ssl.crt/ca.crt" ab.