Avamar:如何更換 Apache Web Server SHA-1 簽署的 SSL 憑證
摘要: Avamar:如何更換 Apache Web Server SHA-1 簽署的 SSL 憑證
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
嘗試使用網頁瀏覽器連線至 NetWorker Virtual Edition (NVE)、Avamar Server 或 Avamar Extended Retention (AER) 節點時,即使 NVE、Avamar Server 或 AER 節點上的 Apache Web 伺服器運作正常,瀏覽器仍會回報網路連線錯誤並拒絕連線。
原因
主要 Web 瀏覽器供應商已終止對使用 SHA-1 簽名的 SSL 證書的支援,自 2017 年 1 月 1 日起生效。某些預設的 NVE、Avamar 和 AER 憑證是使用 SHA-1 簽署。
解析度
- 以系統管理員使用者身分登入 Avamar 工具節點或單一節點伺服器,然後執行下列命令以切換至 root:
蘇 -
便條:尾隨 - 很重要!
便條:尾隨 - 很重要!
- 將目錄變更至 Apache 組態目錄:
CD /etc/apache2
- 確認目前的憑證已使用 SHA-1 簽署:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “signature”
signature algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption
注意:如果簽名演算法未報告為 SHA-1,請不要繼續執行此程序
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “signature”
signature algorithm: sha1WithRSAEncryption Signature Algorithm: sha1WithRSAEncryption
注意:如果簽名演算法未報告為 SHA-1,請不要繼續執行此程序
- 備份現有憑證:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- 從現有憑證產生「憑證簽署要求」:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
正在取得要求私密金鑰
產生憑證要求
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
正在取得要求私密金鑰
產生憑證要求
- 檢查憑證是自我簽署或由認證機構簽署 (CA 簽署):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:“ |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||echo “CA Signed”
注意:此命令應在一行中輸入。所有標點符號都很重要。建議您複製並貼上。
CA 簽署憑證的範例輸出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:“ |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||回應「CA Signed」
CA 簽署
自我簽署憑證的範例輸出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:" |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||回應「CA 簽署」
自我簽署
注意:此命令應在一行中輸入。所有標點符號都很重要。建議您複製並貼上。
CA 簽署憑證的範例輸出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:“ |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||回應「CA Signed」
CA 簽署
自我簽署憑證的範例輸出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|發行人:" |sed 's/.*:\(.*\)/\1/' |優衣 |wc -l' -等式 “1” ] &&; 回顯 “自簽名” ||回應「CA 簽署」
自我簽署
- 產生並安裝更換憑證:
- 對於 CA 簽署的憑證:
- 將步驟 5 中產生的憑證簽署要求複本提供給認證機構,並要求他們使用強簽名演算法產生替換憑證。憑證簽署要求位於 /etc/apache2/ssl.csr/server.csr
- 將 CA 提供的簽署憑證置於 Avamar Server 的 /etc/apache2/ssl.crt/server.crt 中
- 略過步驟 7b,繼續步驟 8 中的程序
- 對於 CA 簽署的憑證:
注意:如果 CA 提供了更新的證書鏈檔以及新證書,請參閱附錄 A 以獲取有關如何安裝這些文件的說明。
- 若為自我簽署憑證:
- 產生並安裝更換憑證
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- 確認新憑證是使用 SHA-256 或其他強簽名演算法簽署:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “signature”
signature algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
範例輸出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “signature”
signature algorithm: sha256WithRSAEncryption
Signature Algorithm: sha256WithRSAEncryption
- 重新啟動 Apache Web 伺服器:
網站重啟
示例輸出:
root@avamar:/etc/apache2/#: 網站重啟
===關閉網站
關閉 HTTPd2(等待所有子項終止)
完成===啟動網站
啟動 httpd2 (前分叉)
示例輸出:
root@avamar:/etc/apache2/#: 網站重啟
===關閉網站
關閉 HTTPd2(等待所有子項終止)
完成===啟動網站
啟動 httpd2 (前分叉)
- 程序完成
其他資訊
附錄 A - 安裝更新的憑證鏈檔
- 建立現有憑證鏈的複本
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- 安裝更新的憑證鏈檔案
- 如果 CA 提供了單獨的中間證書,請將它們合併到單個鏈檔中:
Cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- 否則,請將 CA 提供的單一鏈結檔案放在 Avamar Server 的 /etc/apache2/ssl.crt/ca.crt 內
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 13 1月 2026
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。