Avamar:Apache Web Server SHA-1署名済みSSL証明書を置き換える方法
摘要: Avamar:Apache Web Server SHA-1署名済みSSL証明書を置き換える方法
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Webブラウザーを使用してNetWorker Virtual Edition(NVE)、Avamar Server、Avamar Extended Retention(AER)ノードに接続しようとすると、NVE、Avamar Server、またはAERノード上のApache Web Serverが正常に動作していても、ブラウザーはネットワーク接続エラーを報告し、接続を拒否します。
原因
SHA-1を使用して署名されたSSL証明書のサポートは、2017年1月1日をもって、主要なWebブラウザー ベンダーによって終了しました。一部のデフォルトのNVE、Avamar、AER証明書は、SHA-1を使用して署名されます。
解析度
- Avamarユーティリティー ノードまたはシングル ノード サーバーにadminユーザーとしてログインし、次のコマンドを実行してrootに切り替えます。
su -
手記:末尾の-は重要です!
手記:末尾の-は重要です!
- ディレクトリをApache設定ディレクトリに変更します。
cd /etc/apache2
- 現在の証明書がSHA-1を使用して署名されていることを確認します。
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
出力例:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
署名アルゴリズム:sha1WithRSAEncryption
署名アルゴリズム:sha1WithRSAEncryption
注: 署名アルゴリズムがSHA-1として報告されない場合は、この手順を続行しないでください
出力例:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
署名アルゴリズム:sha1WithRSAEncryption
署名アルゴリズム:sha1WithRSAEncryption
注: 署名アルゴリズムがSHA-1として報告されない場合は、この手順を続行しないでください
- 既存の証明書をバックアップします。
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'日付-I'
- 既存の証明書から「証明書署名要求」を生成します。
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
出力例:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request
出力例:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Getting request Private Key
Generating certificate request
- 証明書が自己署名であるか、認証局(CA署名済み)によって署名されているかを確認します。
['openssl x509-inのssl.crt/server.crt-text-noout |grep "件名: \|発行者:" |sed 's/.*:\(.*\)/\1/' |ユニキュー |wc -l' -eq "1" ] & echo "自己署名" ||echo "CA Signed"
メモ: このコマンドは、1行で入力する必要があります。句読点はすべて重要です。コピーして貼り付けることをお勧めします
CA署名付き証明書の出力例:
root@avamar:/etc/apache2/#: ['openssl x509-inのssl.crt/server.crt-text-noout |grep "件名: \|発行者:" |sed 's/.*:\(.*\)/\1/' |ユニキュー |wc -l' -eq "1" ] & echo "自己署名" ||echo "CA Signed"
CA Signed
自己署名証明書の出力例:
root@avamar:/etc/apache2/#: ['openssl x509-inのssl.crt/server.crt-text-noout |grep "件名: \|発行者:" |sed 's/.*:\(.*\)/\1/' |ユニキュー |wc -l' -eq "1" ] & echo "自己署名" ||echo "CA Signed"
自己署名
メモ: このコマンドは、1行で入力する必要があります。句読点はすべて重要です。コピーして貼り付けることをお勧めします
CA署名付き証明書の出力例:
root@avamar:/etc/apache2/#: ['openssl x509-inのssl.crt/server.crt-text-noout |grep "件名: \|発行者:" |sed 's/.*:\(.*\)/\1/' |ユニキュー |wc -l' -eq "1" ] & echo "自己署名" ||echo "CA Signed"
CA Signed
自己署名証明書の出力例:
root@avamar:/etc/apache2/#: ['openssl x509-inのssl.crt/server.crt-text-noout |grep "件名: \|発行者:" |sed 's/.*:\(.*\)/\1/' |ユニキュー |wc -l' -eq "1" ] & echo "自己署名" ||echo "CA Signed"
自己署名
- 交換用証明書を生成してインストールします。
- CA署名済み証明書の場合:
- 手順5で生成した証明書署名要求のコピーを認証局に提供し、強力な署名アルゴリズムを使用して交換用証明書を生成するように認証局に要求します。証明書署名要求は、/etc/apache2/ssl.csr/server.csrにあります
- CAから提供された署名済み証明書をAvamar Serverの/etc/apache2/ssl.crt/server.crtに配置します。
- 手順7bをスキップして、手順8の手順を続行します
- CA署名済み証明書の場合:
注:CAが新しい証明書とともに更新された証明書チェーンファイルを提供した場合は、これらのインストール方法について付録Aを参照してください。
- 自己署名証明書の場合:
- 交換用証明書の生成とインストール
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
出力例:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
出力例:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- 新しい証明書がSHA-256またはその他の強力な署名アルゴリズムを使用して署名されていることを確認します。
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
出力例:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
署名アルゴリズム: sha256WithRSAEncryption
署名アルゴリズム: sha256WithRSAEncryption
出力例:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
署名アルゴリズム: sha256WithRSAEncryption
署名アルゴリズム: sha256WithRSAEncryption
- Apache Web Serverを再起動します。
Webサイトの再起動
出力例:
root@avamar:/etc/apache2/#: website restart
===ウェブサイトのシャットダウン
httpd2のシャットダウン(すべての子が終了するのを待っています) done
===ウェブサイトの開始
httpd2の開始(prefork)
出力例:
root@avamar:/etc/apache2/#: website restart
===ウェブサイトのシャットダウン
httpd2のシャットダウン(すべての子が終了するのを待っています) done
===ウェブサイトの開始
httpd2の開始(prefork)
- 手順の完了
其他資訊
付録 A - 更新された証明書チェーンファイルのインストール
- 既存の証明書チェーンのコピーを作成する
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- 更新された証明書チェーン ファイルをインストールする
- CA が個別の中間証明書を提供している場合は、それらを結合して 1 つのチェーン ファイルにします。
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- それ以外の場合は、CAから提供された単一チェーン ファイルをAvamar Serverの/etc/apache2/ssl.crt/ca.crtに配置します
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 05 3月 2025
版本: 4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。