Avamar: Cómo reemplazar el certificado SSL firmado SHA-1 de Apache Web Server
摘要: Avamar: Cómo reemplazar el certificado SSL firmado SHA-1 de Apache Web Server
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Cuando se intenta conectar al nodo de NetWorker Virtual Edition (NVE), el servidor Avamar o Avamar Extended Retention (AER) mediante un navegador web, el navegador informa un error de conectividad de red y rechaza la conexión, a pesar de que Apache Web Server en NVE, el servidor Avamar o el nodo de AER funcionan con normalidad.
原因
El soporte para certificados SSL firmados mediante SHA-1 finalizó por parte de los principales proveedores de navegadores web a partir del 1 de enero de 2017. Algunos certificados predeterminados de NVE, Avamar y AER están firmados mediante SHA-1.
解析度
- Inicie sesión en el nodo de utilidad o en el servidor de nodo único de Avamar como usuario administrador y, a continuación, ejecute el siguiente comando para cambiar a root:
su -
Nota: ¡El arrastre es importante!
Nota: ¡El arrastre es importante!
- Cambie los directorios al directorio de configuración de Apache:
cd /etc/apache2
- Confirme que el certificado actual esté firmado mediante SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha1WithRSAEncryption Algoritmo de
firma: sha1WithRSAEncryption
Nota: Si el algoritmo de firma no se informa como SHA-1, no continúe con este procedimiento
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha1WithRSAEncryption Algoritmo de
firma: sha1WithRSAEncryption
Nota: Si el algoritmo de firma no se informa como SHA-1, no continúe con este procedimiento
- Respalde el certificado existente:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Genere una "solicitud de firma de certificado" a partir del certificado existente:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Obtención de la solicitud Clave
privada Generación de la solicitud de certificado
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Obtención de la solicitud Clave
privada Generación de la solicitud de certificado
- Compruebe si el certificado está autofirmado o firmado por una autoridad de certificación (firmado por una CA):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "Firmado por CA"
Nota: Este comando se debe ingresar en una sola línea. Todos los signos de puntuación son importantes. Se recomienda copiar y pegar.
Ejemplo de salida para un certificado firmado por una CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
CA Signed
Salida de muestra para un certificado autofirmado:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
Autofirmado
Nota: Este comando se debe ingresar en una sola línea. Todos los signos de puntuación son importantes. Se recomienda copiar y pegar.
Ejemplo de salida para un certificado firmado por una CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
CA Signed
Salida de muestra para un certificado autofirmado:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Asunto: \|Emisor: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Autofirmado" || echo "CA Signed"
Autofirmado
- Genere e instale el certificado de reemplazo:
- Para certificados firmados por una CA:
- Proporcione una copia de la solicitud de firma de certificado generada en el paso 5 a la autoridad de certificación y solicite que genere un certificado de reemplazo mediante un algoritmo de firma segura. La solicitud de firma de certificado se encuentra en /etc/apache2/ssl.csr/server.csr
- Coloque el certificado firmado proporcionado por la CA en el servidor Avamar en /etc/apache2/ssl.crt/server.crt
- Omita el paso 7b y continúe con el procedimiento del paso 8
- Para certificados firmados por una CA:
Nota: Si la CA proporcionó archivos de cadena de certificados actualizados junto con el nuevo certificado, consulte el Apéndice A para obtener instrucciones sobre cómo instalarlos.
- Para los certificados autofirmados:
- Generar e instalar un certificado de reemplazo
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Resultado de muestra:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Resultado de muestra:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Confirme que el nuevo certificado esté firmado mediante SHA-256 u otro algoritmo de firma segura:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha256WithRSAEncryption Algoritmo de
firma: sha256WithRSAEncryption
Ejemplo de salida:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Algoritmo de firma: sha256WithRSAEncryption Algoritmo de
firma: sha256WithRSAEncryption
- Reinicie Apache Web Server:
Reinicio
del sitio webEjemplo de salida:
root@avamar:/etc/apache2/#: website restart
===Cerrando el sitio web
Cerrando httpd2 (esperando a que todos los hijos terminen) done
===Iniciando sitio web
Iniciando httpd2 (prefork)
del sitio webEjemplo de salida:
root@avamar:/etc/apache2/#: website restart
===Cerrando el sitio web
Cerrando httpd2 (esperando a que todos los hijos terminen) done
===Iniciando sitio web
Iniciando httpd2 (prefork)
- Procedimiento completado
其他資訊
Apéndice A: Instalación de archivos de cadena de certificados actualizados
- Crear una copia de la cadena de certificados existente
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Instalar archivo(s) de cadena de certificados actualizado(s)
- Si la CA proporcionó certificados intermedios separados, combínelos en un único archivo de cadena:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- De lo contrario, coloque el archivo de cadena única proporcionado por la CA en el servidor Avamar en /etc/apache2/ssl.crt/ca.crt
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 13 1月 2026
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。