Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat
Sammanfattning: Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
När du försöker ansluta till NetWorker Virtual Edition (NVE), Avamar-servern eller Avamar Extended Retention-noden (AER) med hjälp av en webbläsare rapporterar webbläsaren ett nätverksanslutningsfel och vägrar att ansluta trots att Apache-webbservern på NVE-, Avamar-servern eller AER-noden fungerar normalt.
Orsak
Stöd för SSL-certifikat signerade med SHA-1 har upphört av de stora webbläsarleverantörerna från och med den 1 januari 2017. Vissa standardcertifikat för NVE, Avamar och AER signeras med SHA-1.
Upplösning
- Logga in på Avamar-verktygsnoden eller servern med en enskild nod som administratörsanvändare och kör sedan följande kommando för att växla till rotmiljön:
Su-
Not: Släpningen - är viktig!
Not: Släpningen - är viktig!
- Ändra kataloger till Apache-konfigurationskatalogen:
cd /etc/apache2
- Bekräfta att det aktuella certifikatet är signerat med SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha1WithRSAEncryption
Signaturalgoritm: sha1WithRSAEncryption
Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha1WithRSAEncryption
Signaturalgoritm: sha1WithRSAEncryption
Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren
- Säkerhetskopiera det befintliga certifikatet:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Generera en "begäran om certifikatsignering" från det befintliga certifikatet:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Hämtar begäran om privat nyckel
Generera certifikatbegäran
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Hämtar begäran om privat nyckel
Generera certifikatbegäran
- Kontrollera om certifikatet är självsignerat eller signerat av en certifikatutfärdare (CA-signerad):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Obs: Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.
Exempel på utdata för ett CA-signerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
CA Signed
Sample utdata för ett självsignerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Självsignerad
Obs: Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.
Exempel på utdata för ett CA-signerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
CA Signed
Sample utdata för ett självsignerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Självsignerad
- Generera och installera ersättningscertifikatet:
- För CA-signerade certifikat:
- Ge en kopia av begäran om certifikatsignering som genererades i steg 5 till certifikatutfärdaren och begär att de genererar ett ersättningscertifikat med hjälp av en stark signaturalgoritm. Begäran om certifikatsignering finns på /etc/apache2/ssl.csr/server.csr
- Placera det signerade certifikatet som tillhandahålls av certifikatutfärdaren på Avamar-servern i /etc/apache2/ssl.crt/server.crt
- Hoppa över steg 7b och fortsätt proceduren i steg 8
- För CA-signerade certifikat:
Obs! Om certifikatutfärdaren tillhandahöll uppdaterade certifikatkedjefiler tillsammans med det nya certifikatet, se bilaga A för instruktioner om hur du installerar dessa.
- För självsignerade certifikat:
- Generera och installera ett ersättningscertifikat
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -ut ssl.crt/server.crt -dagar 1825
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Bekräfta att det nya certifikatet är signerat med SHA-256 eller någon annan stark signaturalgoritm:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha256WithRSAEncryption
Signaturalgoritm: sha256WithRSAEncryption
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha256WithRSAEncryption
Signaturalgoritm: sha256WithRSAEncryption
- Starta om Apache-webbservern:
Omstart av
webbplatsenExempel på utdata:
root@avamar:/etc/apache2/#: website restart
===Stänger av webbplatsen Stänger av httpd2
(väntar på att alla underordnade ska avslutas) done
===Startar webbplatsen Startar httpd2
(prefork)
webbplatsenExempel på utdata:
root@avamar:/etc/apache2/#: website restart
===Stänger av webbplatsen Stänger av httpd2
(väntar på att alla underordnade ska avslutas) done
===Startar webbplatsen Startar httpd2
(prefork)
- Proceduren har slutförts
Ytterligare information
Bilaga A – Installera uppdaterade certifikatkedjefiler
- Skapa en kopia av den befintliga certifikatkedjan
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installera uppdaterade certifikatkedjefiler
- Om certifikatutfärdaren har tillhandahållit separata mellanliggande certifikat kombinerar du dem till en enda kedjefil:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- I annat fall placerar du den enskilda kedjefilen som tillhandahålls av certifikatutfärdaren på Avamar-servern i /etc/apache2/ssl.crt/ca.crt
Berörda produkter
AvamarProdukter
AvamarArtikelegenskaper
Artikelnummer: 000170753
Artikeltyp: Solution
Senast ändrad: 13 jan. 2026
Version: 5
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.