Avamar. Как заменить SSL-сертификат, подписанный SHA-1 веб-сервером Apache

При попытке подключения к NetWorker Virtual Edition (NVE), серверу Avamar Server или узлу Avamar Extended Retention (AER) с помощью веб-браузера браузер сообщает об ошибке подключения к сети и отказывается подключаться, даже если веб-сервер Apache на сервере NVE, сервере Avamar или узле AER работает нормально.

Поддержка SSL-сертификатов, подписанных с использованием SHA-1, была прекращена основными поставщиками веб-браузеров с 1 января 2017 года. Некоторые сертификаты NVE, Avamar и AER по умолчанию подписаны с использованием SHA-1.

1. Войдите в Avamar Utility Node или на сервер с одним узлом в качестве пользователя admin, затем выполните следующую команду, чтобы переключиться на пользователя root:

   su -

   Примечание. Трейлинг - это важно!

2. Перейдите в каталог конфигурации Apache:

   cd /etc/apache2

3. Убедитесь, что текущий сертификат подписан с использованием SHA-1:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Пример вывода:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha1WithRSAEncryption
       Signature Algorithm: sha1WithRSAEncryption

   Примечание. Если алгоритм подписи не отображается как SHA-1, не выполняйте эту процедуру

4. Создайте резервную копию существующего сертификата.

   cp ssl.crt/server.crt ssl.crt/server.crt.bak.`date -I`

5. Создайте «запрос подписи сертификата» на основе существующего сертификата.

   openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr

   Пример вывода:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
   Getting request Private Key
   Generating certificate request

6. Проверьте, является ли сертификат самозаверяющим или подписанным источником сертификатов (подписанным CA).

   [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"

   Примечание. Эта команда должна быть введена в одной строке. Все знаки препинания важны. Рекомендуется копировать и вставить.

   Пример выходных данных для сертификата, подписанного ИС:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   CA Signed

   Пример выходных данных самозаверяющего сертификата:

   root@avamar:/etc/apache2/#: [ `openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Issuer: " | sed 's/.*:\(.*\)/\1/' | uniq | wc -l` -eq "1" ] && echo "Self-signed" || echo "CA Signed"
   Self-signed

7. Создайте и установите заменяющий сертификат.

   1. Для сертификатов, подписанных CA:
      1. Предоставьте источник сертификатов копию запроса на подпись сертификата, созданного на шаге 5, и попросите создать новый сертификат с использованием алгоритма строгой подписи. Запрос подписи сертификата находится в каталоге «/etc/apache2/ssl.csr/server.csr»
      2. Поместите подписанный CA сертификат, предоставленный CA, на сервер Avamar в папку «/etc/apache2/ssl.crt/server.crt»
      3. Пропустите шаг 7b и продолжите процедуру с шага 8
      Примечание. Если CA предоставил один или несколько обновленных файлов цепочки сертификатов вместе с новым сертификатом, см. инструкции по их установке в Приложении A.
   2. Для самозаверяющих сертификатов:
      1. Создание и установка заменяющего сертификата

         openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825

         Пример вывода:

         root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
         Signature ok
         subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com

8. Убедитесь, что новый сертификат подписан с использованием SHA-256 или другого алгоритма надежной подписи:

   openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"

   Пример вывода:

   root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
           Signature Algorithm: sha256WithRSAEncryption
       Signature Algorithm: sha256WithRSAEncryption

9. Перезапустите веб-сервер Apache.

   website restart

   Пример вывода:

   root@avamar:/etc/apache2/#: website restart
   ===Shutting down website
   Shutting down httpd2 (waiting for all children to terminate)                                                                                                                              done
   ===Starting website
   Starting httpd2 (prefork)

10. Процедура завершена

Приложение А. Установка обновленного одного или нескольких файлов цепочки сертификатов

1. Создание копии существующей цепочки сертификатов

   cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.`date -I`

2. Установка одного или нескольких обновленных файлов цепочки сертификатов
   1. Если CA предоставил отдельные промежуточные сертификаты, объедините их в один файл цепочки:

      cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt

   2. В противном случае поместите файл одной цепочки, предоставленный CA на сервер Avamar, в каталог «/etc/apache2/ssl.crt/ca.crt»