Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat

När du försöker ansluta till NetWorker Virtual Edition (NVE), Avamar-servern eller Avamar Extended Retention-noden (AER) med hjälp av en webbläsare rapporterar webbläsaren ett nätverksanslutningsfel och vägrar att ansluta trots att Apache-webbservern på NVE-, Avamar-servern eller AER-noden fungerar normalt.

Stöd för SSL-certifikat signerade med SHA-1 har upphört av de stora webbläsarleverantörerna från och med den 1 januari 2017. Vissa standardcertifikat för NVE, Avamar och AER signeras med SHA-1.

1. Logga in på Avamar-verktygsnoden eller servern med en enskild nod som administratörsanvändare och kör sedan följande kommando för att växla till roten:

   su -

   Obs! Släpningen - är viktig!

2. Ändra katalogerna till Apache-konfigurationskatalogen:

   cd /etc/apache2

3. Bekräfta att det aktuella certifikatet är signerat med SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Exempel på utdata:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren

4. Säkerhetskopiera det befintliga certifikatet:

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Generera en "begäran om certifikatsignering" från det befintliga certifikatet:

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Exempel på utdata:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Kontrollera om certifikatet är självsignerat eller signerat av en certifikatutfärdare (CA-signerad):

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Obs! Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.

   Exempel på utdata för ett CA-signerat certifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Exempel på utdata för ett självsignerat certifikat:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Generera och installera ersättningscertifikatet:

   1. För CA-signerade certifikat:
      1. Ge en kopia av begäran om certifikatsignering som genererades i steg 5 till certifikatutfärdaren och begär att de genererar ett ersättningscertifikat med hjälp av en stark signaturalgoritm. Begäran om certifikatsignering finns på "/etc/apache2/ssl.csr/server.csr"
      2. Placera det signerade certifikatet som tillhandahålls av certifikatutfärdaren på Avamar-servern i "/etc/apache2/ssl.crt/server.crt"
      3. Hoppa över steg 7b och fortsätt proceduren i steg 8
      Obs! Om certifikatutfärdaren tillhandahöll en eller flera uppdaterade certifikatkedjefiler tillsammans med det nya certifikatet, se bilaga A för instruktioner om hur du installerar dessa.
   2. För självsignerade certifikat:
      1. Generera och installera ett ersättningscertifikat

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Exempel på utdata:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Bekräfta att det nya certifikatet är signerat med SHA-256 eller någon annan stark signaturalgoritm:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Exempel på utdata:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Starta om Apache-webbservern:

   website restart

   Exempel på utdata:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Proceduren har slutförts

Bilaga A – Installera uppdaterad en eller flera certifikatkedjefiler

1. Skapa en kopia av den befintliga certifikatkedjan

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Installera en eller flera uppdaterade certifikatkedjefiler
   1. Om certifikatutfärdaren har tillhandahållit separata mellanliggande certifikat kombinerar du dem till en enda kedjefil:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. I annat fall placerar du den enskilda kedjefilen som tillhandahålls av certifikatutfärdaren på Avamar-servern i "/etc/apache2/ssl.crt/ca.crt"