Avamar: Slik erstatter du Apache Web Server SHA-1-signert SSL-sertifikat

Når du prøver å koble til NetWorker Virtual Edition (NVE), Avamar-serveren eller Avamar Extended Retention-noden (AER) ved hjelp av en nettleser, rapporterer nettleseren en feil på nettverkstilkoblingen og avviser å koble til selv om Apache-webserveren på NVE-, Avamar- eller AER-noden fungerer normalt.

Støtte for SSL-sertifikater signert med SHA-1 er avsluttet av de store nettleserleverandørene med virkning fra 1. januar 2017. Enkelte standard NVE-, Avamar- og AER-sertifikater er signert med SHA-1.

1. Logg på Avamar-verktøynoden eller enkeltnodeserveren som administratorbruker, og kjør deretter følgende kommando for å bytte til rot:

   su -

   Merk: Den etterfølgende - er viktig!

2. Endre katalogene i Apache-konfigurasjonskatalogen:

   cd /etc/apache2

3. Bekreft at gjeldende sertifikat er signert med SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Eksempel på utdata:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Merk: Hvis signaturalgoritmen ikke rapporteres som SHA-1, må du ikke fortsette med denne fremgangsmåten

4. Sikkerhetskopier det eksisterende sertifikatet:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Generer en "forespørsel om sertifikatsignering" fra det eksisterende sertifikatet:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Eksempel på utdata:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Sjekk om sertifikatet er selvsignert eller signert av en sertifiseringsinstans (CA-signert):

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Merk: Denne kommandoen skal legges inn på en enkelt linje. All tegnsetting er viktig. Det anbefales å kopiere og lime inn.

   Eksempel på utdata for et CA-signert sertifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Eksempel på utdata for et selvsignert sertifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Generer og installer erstatningssertifikatet:

   1. For CA-signerte sertifikater:
      1. Gi en kopi av forespørselen om sertifikatsignering som ble generert i trinn 5, til sertifiseringsinstansen, og be om at de genererer et erstatningssertifikat ved hjelp av en sterk signaturalgoritme. Du finner forespørselen om sertifikatsignering på "/etc/apache2/ssl.csr/server.csr"
      2. Plasser det signerte sertifikatet fra sertifiseringsinstansen på Avamar-serveren i "/etc/apache2/ssl.crt/server.crt"
      3. Hopp over trinn 7b, og fortsett prosedyren i trinn 8
      Merk: Hvis sertifiseringsinstansen leverte én eller flere oppdaterte sertifikatkjedefiler sammen med det nye sertifikatet, kan du se vedlegg A for instruksjoner om hvordan du installerer disse.
   2. For selvsignerte sertifikater:
      1. Generere og installere et erstatningssertifikat

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Eksempel på utdata:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Bekreft at det nye sertifikatet er signert med SHA-256 eller en annen sterk signaturalgoritme:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Eksempel på utdata:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Start Apache-webserveren på nytt:

   website restart

   Eksempel på utdata:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Prosedyren er fullført

Vedlegg A - Installere oppdatert én eller flere sertifikatkjedefiler

1. Opprette en kopi av den eksisterende sertifikatkjeden

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Installere én eller flere oppdaterte sertifikatkjedefiler
   1. Hvis sertifiseringsinstansen har gitt separate mellomliggende sertifikater, kan du kombinere dem til én enkelt kjedefil:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. Hvis ikke, plasserer du enkeltkjedefilen fra sertifiseringsinstansen på Avamar-serveren i "/etc/apache2/ssl.crt/ca.crt"