Avamar: So ersetzen Sie das SHA-1-signierte SSL-Zertifikat von Apache Web Server
摘要: Avamar: So ersetzen Sie das SHA-1-signierte SSL-Zertifikat von Apache Web Server
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Beim Versuch, über einen Webbrowser eine Verbindung zum NetWorker Virtual Edition-(NVE-), Avamar-Server oder Avamar Extended Retention-(AER-)Node herzustellen, meldet der Browser einen Netzwerkverbindungsfehler und verweigert die Verbindung, obwohl der Apache-Webserver auf der NVE, dem Avamar-Server oder dem AER-Node normal funktioniert.
原因
Die Unterstützung für SSL-Zertifikate, die mit SHA-1 signiert wurden, wurde von den wichtigsten Webbrowser-Anbietern zum 1. Januar 2017 eingestellt. Bestimmte standardmäßige NVE-, Avamar- und AER-Zertifikate werden mit SHA-1 signiert.
解析度
- Melden Sie sich beim Avamar-Utility-Node oder Single-Node-Server als Admin-Nutzer an und führen Sie dann den folgenden Befehl aus, um zum Root-Nutzer zu wechseln:
Su-
Anmerkung: Das Trailing - ist wichtig!
Anmerkung: Das Trailing - ist wichtig!
- Wechseln Sie in das Apache-Konfigurationsverzeichnis:
cd /etc/apache2
- Vergewissern Sie sich, dass das aktuelle Zertifikat mit SHA-1 signiert ist:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha1WithRSAEncryption
Signaturalgorithmus: sha1WithRSAEncryption
Hinweis: Wenn der Signaturalgorithmus nicht als SHA-1 gemeldet wird, fahren Sie mit diesem Verfahren nicht fort
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha1WithRSAEncryption
Signaturalgorithmus: sha1WithRSAEncryption
Hinweis: Wenn der Signaturalgorithmus nicht als SHA-1 gemeldet wird, fahren Sie mit diesem Verfahren nicht fort
- Sichern Sie das vorhandene Zertifikat:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Erzeugen Sie eine "Zertifikatsignierungsanforderung" aus dem vorhandenen Zertifikat:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Anfordern des privaten Schlüssels
Zertifikatsanforderung wird generiert
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Anfordern des privaten Schlüssels
Zertifikatsanforderung wird generiert
- Überprüfen Sie, ob das Zertifikat selbstsigniert oder von einer Zertifizierungsstelle (CA-signiert) signiert ist:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA signiert"
Hinweis: Dieser Befehl sollte in einer einzigen Zeile eingegeben werden. Alle Interpunktionszeichen sind wichtig. Es wird empfohlen, sie zu kopieren und einzufügen.
Beispielausgabe für ein CA-signiertes Zertifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
CA Signed
Beispielausgabe für ein selbstsigniertes Zertifikat:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
Selbstsigniert
Hinweis: Dieser Befehl sollte in einer einzigen Zeile eingegeben werden. Alle Interpunktionszeichen sind wichtig. Es wird empfohlen, sie zu kopieren und einzufügen.
Beispielausgabe für ein CA-signiertes Zertifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
CA Signed
Beispielausgabe für ein selbstsigniertes Zertifikat:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Betreff: \|Emittent: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Selbstsigniert" || echo "CA Signed"
Selbstsigniert
- Erzeugen und installieren Sie das Ersatzzertifikat:
- Für CA-signierte Zertifikate:
- Stellen Sie der Zertifizierungsstelle eine Kopie der in Schritt 5 erzeugten Zertifikatsignieranforderung zur Verfügung und fordern Sie sie auf, ein Ersatzzertifikat mit einem starken Signaturalgorithmus zu erzeugen. Die Zertifikatsignieranforderung befindet sich unter /etc/apache2/ssl.csr/server.csr
- Legen Sie das signierte Zertifikat, das von der Zertifizierungsstelle bereitgestellt wurde, auf dem Avamar Server in /etc/apache2/ssl.crt/server.crt ab.
- Überspringen Sie Schritt 7b und fahren Sie mit dem Verfahren ab Schritt 8 fort
- Für CA-signierte Zertifikate:
Hinweis: Wenn die Zertifizierungsstelle aktualisierte Zertifikatskettendatei(en) zusammen mit dem neuen Zertifikat bereitgestellt hat, finden Sie in Anhang A Anweisungen zur Installation dieser Zertifikate.
- Für selbstsignierte Zertifikate:
- Erzeugen und Installieren eines Ersatzzertifikats
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Vergewissern Sie sich, dass das neue Zertifikat mit SHA-256 oder einem anderen starken Signaturalgorithmus signiert wurde:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha256WithRSAEncryption
Signaturalgorithmus: sha256WithRSAEncryption
Beispielausgabe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Signaturalgorithmus: sha256WithRSAEncryption
Signaturalgorithmus: sha256WithRSAEncryption
- Starten Sie den Apache Web Server neu:
Website-Neustart
Beispielausgabe:
root@avamar:/etc/apache2/#: website restart
===Herunterfahren der Website
Herunterfahren von httpd2 (warten auf die Beendigung aller untergeordneten Elemente) done
===Website starten
Starten von httpd2 (prefork)
Beispielausgabe:
root@avamar:/etc/apache2/#: website restart
===Herunterfahren der Website
Herunterfahren von httpd2 (warten auf die Beendigung aller untergeordneten Elemente) done
===Website starten
Starten von httpd2 (prefork)
- Verfahren abgeschlossen
其他資訊
Anhang A – Installieren aktualisierter Zertifikatskettendatei(en)
- Erstellen einer Kopie der vorhandenen Zertifikatskette
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Aktualisierte Zertifikatskettendatei(en) installieren
- Wenn die Zertifizierungsstelle separate Zwischenzertifikate bereitgestellt hat, kombinieren Sie sie in einer einzigen Kettendatei:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Legen Sie andernfalls die von der Zertifizierungsstelle bereitgestellte Single-Chain-Datei auf dem Avamar-Server in /etc/apache2/ssl.crt/ca.crt ab.
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 13 1月 2026
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。