Avamar: Come sostituire il certificato SSL firmato da SHA-1 di Apache Web Server
摘要: Avamar: Come sostituire il certificato SSL firmato da SHA-1 di Apache Web Server
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Quando si tenta di connettersi al nodo NetWorker Virtual Edition (NVE), Avamar Server o Avamar Extended Retention (AER) utilizzando un web browser, il browser segnala un errore di connettività di rete e rifiuta la connessione anche se Apache Web Server su NVE, Avamar Server o nodo AER funziona normalmente.
原因
Il supporto per i certificati SSL firmati utilizzando SHA-1 è stato interrotto dai principali fornitori di browser web a partire dal 1° gennaio 2017. Alcuni certificati NVE, Avamar e AER predefiniti vengono firmati utilizzando SHA-1.
解析度
- Accedere all'Avamar Utility Node o al server a nodo singolo come utente amministratore, quindi eseguire il comando seguente per passare a root:
su -
Nota: Il trailing - è importante!
Nota: Il trailing - è importante!
- Modificare le directory nella directory di configurazione Apache:
cd /etc/apache2
- Verificare che il certificato corrente sia firmato utilizzando SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha1WithRSAEncryption
Algoritmo di firma: sha1WithRSAEncryption
Nota: Se l'algoritmo di firma non viene segnalato come SHA-1, non continuare con questa procedura
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha1WithRSAEncryption
Algoritmo di firma: sha1WithRSAEncryption
Nota: Se l'algoritmo di firma non viene segnalato come SHA-1, non continuare con questa procedura
- Eseguire il backup del certificato esistente:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Generare una "richiesta di firma del certificato" dal certificato esistente:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ottenere la richiesta
Chiave privata Generazione della richiesta di certificato
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Ottenere la richiesta
Chiave privata Generazione della richiesta di certificato
- Verificare se il certificato è autofirmato o firmato da un autorità di certificazione (firmato dall'autorità di certificazione):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "CA Signed"
Nota: Questo comando deve essere inserito su una singola riga. Tutta la punteggiatura è importante. Si consiglia di copiare e incollare.
Esempio di output per un certificato firmato dalla CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "CA Signed"
Firmato dalla CA Output
di esempio per un certificato autofirmato:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "Firmato dalla CA"
Autofirmato
Nota: Questo comando deve essere inserito su una singola riga. Tutta la punteggiatura è importante. Si consiglia di copiare e incollare.
Esempio di output per un certificato firmato dalla CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "CA Signed"
Firmato dalla CA Output
di esempio per un certificato autofirmato:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Emittente: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] &&echo "Autofirmato" || echo "Firmato dalla CA"
Autofirmato
- Generare e installare il certificato sostitutivo:
- Per i certificati firmati dall'autorità di certificazione:
- Fornire una copia della richiesta di firma del certificato generata nel passaggio 5 all'autorità di certificazione e chiedere che generi un certificato sostitutivo utilizzando un algoritmo di firma complessa. La richiesta di firma del certificato si trova in /etc/apache2/ssl.csr/server.csr
- Posizionare il certificato firmato fornito dalla CA sull'Avamar Server in /etc/apache2/ssl.crt/server.crt
- Ignorare il passaggio 7b e continuare la procedura dal punto 8
- Per i certificati firmati dall'autorità di certificazione:
Nota: Se la CA ha fornito i file della catena di certificati aggiornati insieme al nuovo certificato, fare riferimento all'Appendice A per istruzioni su come installarli.
- Per i certificati autofirmati:
- Generazione e installazione di un certificato sostitutivo
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Esempio di output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Esempio di output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Firma ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Verificare che il nuovo certificato sia firmato utilizzando SHA-256 o un altro algoritmo di firma complessa:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Firma"
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha256WithRSAEncryption
Algoritmo di firma: sha256WithRSAEncryption
Output di esempio:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algoritmo di firma "Signature"
: sha256WithRSAEncryption
Algoritmo di firma: sha256WithRSAEncryption
- Riavviare Apache Web Server:
Riavvio
del sito webOutput di esempio:
root@avamar:/etc/apache2/#: riavvio
del sito web===Arresto del sito web
Arresto di httpd2 (in attesa che tutti i figli vengano terminati) fatto
===Avvio del sito web
Avvio di httpd2 (prefork)
del sito webOutput di esempio:
root@avamar:/etc/apache2/#: riavvio
del sito web===Arresto del sito web
Arresto di httpd2 (in attesa che tutti i figli vengano terminati) fatto
===Avvio del sito web
Avvio di httpd2 (prefork)
- Procedura completata
其他資訊
Appendice A - Installazione dei file della catena di certificati aggiornati
- Creare una copia della catena di certificati esistente
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installazione dei file della catena di certificati aggiornati
- Se la CA ha fornito certificati intermedi separati, combinarli in un unico file della catena:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- In caso contrario, posizionare il singolo file della catena fornito dalla CA sull'Avamar Server in /etc/apache2/ssl.crt/ca.crt
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 05 3月 2025
版本: 4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。