Avamar: Jak wymienić certyfikat SSL podpisany SHA-1 serwera WWW Apache
摘要: Avamar: Jak wymienić certyfikat SSL podpisany SHA-1 serwera WWW Apache
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Podczas próby połączenia się z węzłem NetWorker Virtual Edition (NVE), serwerem Avamar lub węzłem Avamar Extended Retention (AER) przy użyciu przeglądarki internetowej przeglądarka zgłasza błąd łączności sieciowej i odmawia połączenia, mimo że serwer WWW Apache na węźle NVE, Avamar lub AER działa normalnie.
原因
Obsługa certyfikatów SSL podpisanych przy użyciu algorytmu SHA-1 została zakończona przez głównych dostawców przeglądarek internetowych z dniem 1 stycznia 2017 r. Niektóre domyślne certyfikaty NVE, Avamar i AER są podpisywane przy użyciu algorytmu SHA-1.
解析度
- Zaloguj się do węzła narzędzia Avamar lub serwera z jednym węzłem jako użytkownik administrator, a następnie uruchom następujące polecenie, aby przełączyć się do katalogu głównego:
Su-
Nuta: Końcówka - jest ważna!
Nuta: Końcówka - jest ważna!
- Zmień katalogi na katalog konfiguracyjny Apache:
cd /etc/apache2
- Upewnij się, że bieżący certyfikat jest podpisany przy użyciu algorytmu SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha1WithRSAEncryption
Algorytm podpisu: sha1WithRSAEncryption
Uwaga: Jeśli algorytm podpisu nie jest zgłaszany jako SHA-1, nie kontynuuj tej procedury
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha1WithRSAEncryption
Algorytm podpisu: sha1WithRSAEncryption
Uwaga: Jeśli algorytm podpisu nie jest zgłaszany jako SHA-1, nie kontynuuj tej procedury
- Utwórz kopię zapasową istniejącego certyfikatu:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'data -I'
- Wygeneruj żądanie podpisania certyfikatu na podstawie istniejącego certyfikatu:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pobieranie żądania klucza
prywatnego Żądanie certyfikatu
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Pobieranie żądania klucza
prywatnego Żądanie certyfikatu
- Sprawdź, czy certyfikat jest podpisany samodzielnie, czy przez urząd certyfikacji (podpisany przez CA):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "Podpisano CA"
Uwaga: To polecenie należy wprowadzić w jednym wierszu. Wszystkie znaki interpunkcyjne są ważne. Zaleca się kopiowanie i wklejanie.
Przykładowe dane wyjściowe dla certyfikatu podpisanego przez instytucję certyfikującą:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
CA Signed
Przykładowe dane wyjściowe dla certyfikatu z podpisem własnym:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
Z podpisem własnym
Uwaga: To polecenie należy wprowadzić w jednym wierszu. Wszystkie znaki interpunkcyjne są ważne. Zaleca się kopiowanie i wklejanie.
Przykładowe dane wyjściowe dla certyfikatu podpisanego przez instytucję certyfikującą:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
CA Signed
Przykładowe dane wyjściowe dla certyfikatu z podpisem własnym:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Temat: \|Emitenta: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Z podpisem własnym" || echo "CA Signed"
Z podpisem własnym
- Wygeneruj i zainstaluj certyfikat zastępczy:
- W przypadku certyfikatów podpisanych przez instytucję certyfikującą:
- Przekaż urzędzie certyfikacji kopię żądania podpisania certyfikatu wygenerowanego w kroku 5 i poproś o wygenerowanie certyfikatu zastępczego przy użyciu algorytmu silnego podpisu. Żądanie podpisania certyfikatu znajduje się w /etc/apache2/ssl.csr/server.csr
- Umieść podpisany certyfikat dostarczony przez urząd certyfikacji na serwerze Avamar w katalogu /etc/apache2/ssl.crt/server.crt
- Pomiń krok 7b i kontynuuj procedurę od kroku 8
- W przypadku certyfikatów podpisanych przez instytucję certyfikującą:
Uwaga: Jeśli urząd certyfikacji dostarczył zaktualizowane pliki łańcucha certyfikatów wraz z nowym certyfikatem, zapoznaj się z dodatkiem A, aby uzyskać instrukcje dotyczące ich instalacji.
- W przypadku certyfikatów z podpisem własnym:
- Generowanie i instalowanie certyfikatu zastępczego
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Upewnij się, że nowy certyfikat jest podpisany przy użyciu algorytmu SHA-256 lub innego algorytmu silnego podpisu:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Podpis"
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha256WithRSAEncryption
Algorytm podpisu: sha256WithRSAEncryption
Przykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep Algorytm podpisu "Signature"
: sha256WithRSAEncryption
Algorytm podpisu: sha256WithRSAEncryption
- Uruchom ponownie serwer WWW Apache:
Ponowne uruchomienie
witrynyPrzykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: restart
strony ===Zamykanie strony Zamykanie strony
httpd2 (oczekiwanie na zakończenie działania wszystkich dzieci) zrobione
===Uruchamianie strony Uruchamianie httpd2
(prefork)
witrynyPrzykładowe dane wyjściowe:
root@avamar:/etc/apache2/#: restart
strony ===Zamykanie strony Zamykanie strony
httpd2 (oczekiwanie na zakończenie działania wszystkich dzieci) zrobione
===Uruchamianie strony Uruchamianie httpd2
(prefork)
- Procedura zakończona
其他資訊
Dodatek A - Instalowanie zaktualizowanego pliku(-ów) łańcucha certyfikatów
- Utwórz kopię istniejącego łańcucha certyfikatów
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Zainstaluj zaktualizowane pliki łańcucha certyfikatów
- Jeśli urząd certyfikacji dostarczył oddzielne certyfikaty pośrednie, połącz je w jeden plik łańcuchowy:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- W przeciwnym razie umieść pojedynczy plik łańcuchowy dostarczony przez CA na serwerze Avamar w /etc/apache2/ssl.crt/ca.crt
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 13 1月 2026
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。