Avamar：如何更換 Apache Web Server SHA-1 簽署的 SSL 憑證

嘗試使用網頁瀏覽器連線至 NetWorker Virtual Edition （NVE）、Avamar Server 或 Avamar Extended Retention （AER） 節點時，即使 NVE、Avamar Server 或 AER 節點上的 Apache Web 伺服器運作正常，瀏覽器仍會回報網路連線錯誤並拒絕連線。

主要 Web 瀏覽器供應商已終止對使用 SHA-1 簽名的 SSL 證書的支援，自 2017 年 1 月 1 日起生效。某些預設的 NVE、Avamar 和 AER 憑證是使用 SHA-1 簽署。

1. 以系統管理員使用者身分登入 Avamar 工具節點或單一節點伺服器，然後執行下列命令以切換至 root：

   su -

   注意：尾隨 - 很重要！

2. 將目錄變更為 Apache 組態目錄：

   cd /etc/apache2

3. 確認目前的憑證已使用 SHA-1 簽署：

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   範例輸出：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   注意：如果簽名演算法未報告為 SHA-1，請勿繼續執行此程序

4. 備份現有憑證：

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. 從現有憑證產生「憑證簽署要求」：

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   範例輸出：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. 檢查憑證是自我簽署或由認證機構簽署 （CA 簽署）：

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   注意：此命令應在一行中輸入。所有標點符號都很重要。建議您複製並貼上。

   CA 簽署憑證的範例輸出：

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   自我簽署憑證的範例輸出：

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. 產生並安裝更換憑證：

   1. 對於 CA 簽署的憑證：
      1. 將步驟 5 中產生的憑證簽署要求複本提供給認證機構，並要求他們使用強簽名演算法產生替換憑證。憑證簽署要求位於「/etc/apache2/ssl.csr/server.csr」
      2. 將 CA 提供的簽署憑證置於 Avamar Server 的「/etc/apache2/ssl.crt/server.crt」中
      3. 略過步驟 7b，繼續步驟 8 中的程序
      注意：如果 CA 提供了一個或多個更新的證書鏈檔以及新證書，請參閱附錄 A 以獲取有關如何安裝這些文件的說明。
   2. 若為自我簽署憑證：
      1. 產生並安裝更換憑證

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         範例輸出：

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. 確認新憑證是使用 SHA-256 或其他強簽名演算法簽署：

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   範例輸出：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. 重新啟動 Apache Web 伺服器：

   website restart

   範例輸出：

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. 程序完成

附錄 A - 安裝更新的一個或多個憑證鏈檔

1. 建立現有憑證鏈的複本

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. 安裝一個或多個更新的憑證鏈檔案
   1. 如果 CA 提供了單獨的中間證書，請將它們合併到單個鏈檔中：

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. 否則，請將 CA 提供的單一鏈結檔案放置於 Avamar 伺服器的「/etc/apache2/ssl.crt/ca.crt」內