Avamar：如何替换 Apache Web Server SHA-1 签名的 SSL 证书

尝试使用网页浏览器连接到 NetWorker Virtual Edition （NVE）、Avamar Server 或 Avamar Extended Retention （AER） 节点时，即使 NVE、Avamar Server 或 AER 节点上的 Apache Web Server 正常运行，浏览器也会报告网络连接错误并拒绝连接。

自 2017 年 1 月 1 日起，主要网页浏览器供应商已终止对使用 SHA-1 签名的 SSL 证书的支持。某些默认的 NVE、Avamar 和 AER 证书使用 SHA-1 签名。

1. 以管理员用户身份登录到 Avamar Utility Node 或单节点服务器，然后运行以下命令以切换到 root：

   su -

   提醒：尾随 - 很重要！

2. 将目录切换到 Apache 配置目录：

   cd /etc/apache2

3. 确认当前证书是使用 SHA-1 签名的：

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   输出示例：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   提醒：如果签名算法未报告为 SHA-1，请勿继续执行此过程

4. 备份现有证书：

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. 从现有证书生成“证书签名请求”：

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   输出示例：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. 检查证书是自签名的还是由证书颁发机构签名的（CA 签名）：

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   提醒：此命令应在一行中输入。所有标点符号都很重要。建议进行复制和粘贴。

   CA 签名证书的输出示例：

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   自签名证书的输出示例：

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. 生成并安装更换证书：

   1. 对于 CA 签名证书：
      1. 向证书颁发机构提供在步骤 5 中生成的证书签名请求的副本，并请求他们使用强签名算法生成替换证书。证书签名请求位于“/etc/apache2/ssl.csr/server.csr”
      2. 将 CA 提供的签名证书放在 Avamar Server 的“/etc/apache2/ssl.crt/server.crt”中
      3. 跳过步骤 7b 并继续执行步骤 8 中的过程
      提醒：如果 CA 随新证书一起提供了一个或多个更新的证书链文件，请参阅附录 A，了解有关如何安装这些证书的说明。
   2. 对于自签名证书：
      1. 生成并安装替换证书

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         输出示例：

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. 确认新证书是使用 SHA-256 或其他强签名算法签名的：

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   输出示例：

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. 重新启动 Apache Web Server：

   website restart

   输出示例：

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. 程序完成

附录 A — 安装更新的一个或多个证书链文件

1. 创建现有证书链的副本

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. 安装一个或多个更新的证书链文件
   1. 如果 CA 提供了单独的中间证书，请将它们合并到单个链文件中：

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. 否则，将 CA 提供的单链文件放在 Avamar Server 的“/etc/apache2/ssl.crt/ca.crt”中