Avamar: Como substituir o certificado SSL assinado pelo Apache Web Server SHA-1
摘要: Avamar: Como substituir o certificado SSL assinado pelo Apache Web Server SHA-1
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Ao tentar se conectar ao nó do NetWorker Virtual Edition (NVE), do Avamar Server ou do Avamar Extended Retention (AER) usando um navegador da Web, o navegador relata um erro de conectividade de rede e se recusa a se conectar, mesmo que o Apache Web Server no NVE, Avamar Server ou nó AER esteja funcionando normalmente.
原因
O suporte para certificados SSL assinados usando SHA-1 foi encerrado pelos principais fornecedores de navegadores da Web a partir de 1º de janeiro de 2017. Alguns certificados padrão do NVE, Avamar e AER são assinados usando SHA-1.
解析度
- Faça log-in no Avamar Utility Node ou no Single Node Server como usuário administrador e execute o seguinte comando para alternar para root:
Su-
Nota: O trailing - é importante!
Nota: O trailing - é importante!
- Altere os diretórios para o diretório de configuração do Apache:
cd /etc/apache2
- Confirme se o certificado atual foi assinado usando SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assinatura"
Exemplo de saída:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Nota: Se o algoritmo de assinatura não for relatado como SHA-1, não continue com este procedimento
Exemplo de saída:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
Nota: Se o algoritmo de assinatura não for relatado como SHA-1, não continue com este procedimento
- Faça backup do certificado existente:
cp ssl.crt/server.crt ssl.crt/server.crt.bak. 'date -I'
- Gere uma "solicitação de assinatura de certificado" a partir do certificado existente:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Exemplo de saída:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Obtendo solicitação de chave
privada Gerando solicitação de certificado
Exemplo de saída:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Obtendo solicitação de chave
privada Gerando solicitação de certificado
- Verifique se o certificado é autoassinado ou assinado por uma autoridade de certificação (assinada pela CA):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assunto: \|Emissor: " | sed 's/.*:\(.*\)/\1/' | Uniq - Brasil | wc -l' -eq "1" ] && echo "Auto-assinado" || echo "CA Signed"
Nota: Esse comando deve ser inserido em uma única linha. Toda pontuação é importante. É recomendável copiar e colar.
Exemplo de resultado para um certificado assinado pela CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assunto: \|Emissor: " | sed 's/.*:\(.*\)/\1/' | Uniq - Brasil | wc -l' -eq "1" ] && echo "Auto-assinado" || echo "CA Signed"
Assinado pela CA Exemplo
de resultado para um certificado autoassinado:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assunto: \|Emissor: " | sed 's/.*:\(.*\)/\1/' | Uniq - Brasil | wc -l' -eq "1" ] && echo "Auto-assinado" || echo "CA Signed"
Auto-assinado
Nota: Esse comando deve ser inserido em uma única linha. Toda pontuação é importante. É recomendável copiar e colar.
Exemplo de resultado para um certificado assinado pela CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assunto: \|Emissor: " | sed 's/.*:\(.*\)/\1/' | Uniq - Brasil | wc -l' -eq "1" ] && echo "Auto-assinado" || echo "CA Signed"
Assinado pela CA Exemplo
de resultado para um certificado autoassinado:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assunto: \|Emissor: " | sed 's/.*:\(.*\)/\1/' | Uniq - Brasil | wc -l' -eq "1" ] && echo "Auto-assinado" || echo "CA Signed"
Auto-assinado
- Gere e instale o certificado de substituição:
- Para certificados assinados pela CA:
- Forneça uma cópia da solicitação de assinatura de certificado gerada na etapa 5 para a autoridade de certificação e solicite que ela gere um certificado de substituição usando um algoritmo de assinatura forte. A solicitação de assinatura do certificado está localizada em /etc/apache2/ssl.csr/server.csr
- Coloque o certificado assinado fornecido pela CA no Avamar Server em /etc/apache2/ssl.crt/server.crt
- Ignore a etapa 7b e continue o procedimento na etapa 8
- Para certificados assinados pela CA:
Nota: Se a CA forneceu arquivos de cadeia de certificados atualizados juntamente com o novo certificado, consulte o Apêndice A para obter instruções sobre como instalá-los.
- Para certificados autoassinados:
- Gerar e instalar um certificado de substituição
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Exemplo de resultado:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Assinatura ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Exemplo de resultado:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Assinatura ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Confirme se o novo certificado foi assinado usando SHA-256 ou outro algoritmo de assinatura forte:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assinatura"
Exemplo de saída:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assinatura"
Algoritmo de assinatura: sha256WithRSAEncryption
Algoritmo de assinatura: sha256WithRSAEncryption
Exemplo de saída:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Assinatura"
Algoritmo de assinatura: sha256WithRSAEncryption
Algoritmo de assinatura: sha256WithRSAEncryption
- Reinicie o Apache Web Server:
Reinicialização
do siteExemplo de resultado:root@avamar:/etc/apache2/#: reinicialização
do site===Desligamento do site
Desligamento httpd2 (esperando que todas as crianças terminem) feito
===Iniciando o site
Iniciando httpd2 (prefork)
do siteExemplo de resultado:root@avamar:/etc/apache2/#: reinicialização
do site===Desligamento do site
Desligamento httpd2 (esperando que todas as crianças terminem) feito
===Iniciando o site
Iniciando httpd2 (prefork)
- Procedimento concluído
其他資訊
Apêndice A - Instalando arquivo(s) de cadeia de certificados atualizado
- Criar uma cópia da cadeia de certificados existente
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Instalar arquivo(s) de cadeia de certificados atualizado
- Se a CA tiver fornecido certificados intermediários separados, combine-os em um único arquivo de cadeia:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Caso contrário, coloque o arquivo de cadeia única fornecido pela CA no Avamar Server em /etc/apache2/ssl.crt/ca.crt
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 05 3月 2025
版本: 4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。