Avamar: Come sostituire il certificato SSL firmato da SHA-1 di Apache Web Server

Quando si tenta di connettersi al nodo NetWorker Virtual Edition (NVE), Avamar Server o Avamar Extended Retention (AER) utilizzando un web browser, il browser segnala un errore di connettività di rete e rifiuta la connessione anche se Apache Web Server su NVE, Avamar Server o nodo AER funziona normalmente.

Il supporto per i certificati SSL firmati utilizzando SHA-1 è stato interrotto dai principali fornitori di browser web a partire dal 1° gennaio 2017. Alcuni certificati NVE, Avamar e AER predefiniti vengono firmati utilizzando SHA-1.

1. Accedere all'Avamar Utility Node o al server a nodo singolo come utente amministratore, quindi eseguire il comando seguente per passare a root:

   su -

   Nota: Il trailing - è importante!

2. Modificare le directory nella directory di configurazione Apache:

   cd /etc/apache2

3. Verificare che il certificato corrente sia firmato utilizzando SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Output di esempio:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Nota: Se l'algoritmo di firma non viene segnalato come SHA-1, non procedere con questa procedura

4. Eseguire il backup del certificato esistente:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Generare una "richiesta di firma del certificato" dal certificato esistente:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Output di esempio:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Verificare se il certificato è autofirmato o firmato da un autorità di certificazione (firmato dall'autorità di certificazione):

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Nota: Questo comando deve essere inserito su una singola riga. Tutta la punteggiatura è importante. Si consiglia di copiare e incollare.

   Esempio di output per un certificato firmato dalla CA:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Esempio di output per un certificato autofirmato:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Generare e installare il certificato sostitutivo:

   1. Per i certificati firmati dall'autorità di certificazione:
      1. Fornire una copia della richiesta di firma del certificato generata nel passaggio 5 all'autorità di certificazione e chiedere che generi un certificato sostitutivo utilizzando un algoritmo di firma complessa. La richiesta di firma del certificato si trova in "/etc/apache2/ssl.csr/server.csr"
      2. Posizionare il certificato firmato fornito dalla CA sull'Avamar Server in "/etc/apache2/ssl.crt/server.crt"
      3. Ignorare il passaggio 7b e continuare la procedura dal punto 8
      Nota: Se la CA ha fornito uno o più file della catena di certificati aggiornati insieme al nuovo certificato, fare riferimento all'Appendice A per istruzioni su come installarli.
   2. Per i certificati autofirmati:
      1. Generazione e installazione di un certificato sostitutivo

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Output di esempio:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Verificare che il nuovo certificato sia firmato utilizzando SHA-256 o un altro algoritmo di firma complessa:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Output di esempio:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Riavviare Apache Web Server:

   website restart

   Output di esempio:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Procedura completata

Appendice A - Installazione di uno o più file della catena di certificati aggiornati

1. Creare una copia della catena di certificati esistente

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Installazione di uno o più file della catena di certificati aggiornati
   1. Se la CA ha fornito certificati intermedi separati, combinarli in un unico file della catena:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. In caso contrario, posizionare il singolo file della catena fornito dalla CA sull'Avamar Server in "/etc/apache2/ssl.crt/ca.crt"