Авамар: Як замінити SSL-сертифікат Apache Web Server SHA-1

Zhrnutie: У цій статті пояснюється, як замінити SSL-сертифікат Apache Web Server SHA-1, підписаний.

Tento článok sa vzťahuje na Tento článok sa nevzťahuje na Tento článok nie je viazaný na žiadny konkrétny produkt. V tomto článku nie sú uvedené všetky verzie produktov.
Pozrite si ďalšie zdroje

Symptómy

При спробі підключитися до NetWorker Virtual Edition (NVE), сервера Avamar або вузла Avamar Extended Retention (AER) через веб-браузер повідомляє про помилку мережевого підключення і відмовляється підключатися, навіть якщо веб-сервер Apache на NVE, сервері Avamar або вузлі AER працює нормально.

 

Príčina

Підтримка SSL-сертифікатів, підписаних за допомогою SHA-1, була припинена основними виробниками веб-браузерів з 1 січня 2017 року. Деякі стандартні сертифікати NVE, Avamar та AER підписуються за допомогою SHA-1.

 

Riešenie

  1. Увійдіть у Avamar Utility Node або сервер одного вузла як адміністратор, потім виконайте наступну команду для переключення на root:

    su -
    Примітка. Задня частина — дуже важлива!

  2. Змініть каталоги у каталог конфігурації Apache:

    cd /etc/apache2

  3. Підтверджіть, що поточний сертифікат підписаний за допомогою SHA-1:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha1WithRSAEncryption
    Signature Algorithm: sha1WithRSAEncryption
    Примітка. Якщо алгоритм підпису не вказаний як SHA-1, не проводити цю процедуру

  4. Резервна копія існуючого сертифіката:

    cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

  5. Згенеруйте «запит на підписання сертифіката» з існуючого сертифіката:

    openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request

  6. Перевірте, чи є сертифікат самопідписаним або підписаним Сертифікаційним центром (CA підписаний):

    [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
    Примітка. Цю команду слід вводити одним рядком. Усі пунктуації важливі. Рекомендується копіювати та вставляти.

    Зразок результату сертифіката, підписаного CA:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
CA Signed

    Зразок виводу для самопідписаного сертифіката:

    root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
Self-signed

  7. Згенеруйте та встановіть сертифікат заміни:

    1. Для сертифікатів, підписаних CA:
      1. Надайте копію запиту на підписання сертифіката, згенерованого на кроці 5, Центру сертифікації та попросіть створити замінний сертифікат за допомогою потужного алгоритму підпису. Запит на підписання сертифіката знаходиться за адресою "/etc/apache2/ssl.csr/server.csr"
      2. Розмістіть підписаний сертифікат, наданий CA, на сервері Avamar у "/etc/apache2/ssl.crt/server.crt"
      3. Пропустіть крок 7b і продовжуйте процедуру на етапі 8
      Примітка. Якщо CA надав один або кілька оновлених файлів ланцюга сертифікатів разом із новим сертифікатом, зверніться до Додатку A для інструкцій щодо їх встановлення.
    2. Для самопідписаних сертифікатів:
      1. Створіть і встановіть сертифікат заміни 
        openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
        Вибірковий вихід: 
        root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

  8. Переконайтеся, що новий сертифікат підписаний за допомогою SHA-256 або іншого сильного алгоритму підпису:

    openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
        Signature Algorithm: sha256WithRSAEncryption
    Signature Algorithm: sha256WithRSAEncryption

  9. Перезапустити веб-сервер Apache:

    website restart

    Вибірковий вихід:

    root@avamar:/etc/apache2/#: website restart
===Shutting down website
Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
===Starting website
Starting httpd2 (prefork)

  10. Процедура завершена

 

Ďalšie informácie

Додаток A — Встановлення оновленого одного або кількох файлів ланцюга сертифікатів

  1. Створіть копію існуючого ланцюга сертифікатів

    cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`
  2. Встановіть один або кілька оновлених файлів ланцюжка сертифікатів
    1. Якщо CA надав окремі проміжні сертифікати, об'єднайте їх у один ланцюговий файл: 
      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
    2. Інакше розмістіть файл одного ланцюга, наданий CA, на сервер Avamar у "/etc/apache2/ssl.crt/ca.crt"

 

Dotknuté produkty

Avamar

Produkty

Avamar
Vlastnosti článku
Číslo článku: 000170753
Typ článku: Solution
Dátum poslednej úpravy: 13 jan 2026
Verzia:  5
Nájdite odpovede na svoje otázky od ostatných používateľov spoločnosti Dell
Služby podpory
Skontrolujte, či sa na vaše zariadenie vzťahujú služby podpory.