Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat
摘要: Avamar: Så byter du ut Apache Web Server SHA-1-signerat SSL-certifikat
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
När du försöker ansluta till NetWorker Virtual Edition (NVE), Avamar-servern eller Avamar Extended Retention-noden (AER) med hjälp av en webbläsare rapporterar webbläsaren ett nätverksanslutningsfel och vägrar att ansluta trots att Apache-webbservern på NVE-, Avamar-servern eller AER-noden fungerar normalt.
原因
Stöd för SSL-certifikat signerade med SHA-1 har upphört av de stora webbläsarleverantörerna från och med den 1 januari 2017. Vissa standardcertifikat för NVE, Avamar och AER signeras med SHA-1.
解析度
- Logga in på Avamar-verktygsnoden eller servern med en enskild nod som administratörsanvändare och kör sedan följande kommando för att växla till rotmiljön:
Su-
Not: Släpningen - är viktig!
Not: Släpningen - är viktig!
- Ändra kataloger till Apache-konfigurationskatalogen:
cd /etc/apache2
- Bekräfta att det aktuella certifikatet är signerat med SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha1WithRSAEncryption
Signaturalgoritm: sha1WithRSAEncryption
Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha1WithRSAEncryption
Signaturalgoritm: sha1WithRSAEncryption
Obs! Om signaturalgoritmen inte rapporteras som SHA-1 ska du inte fortsätta med den här proceduren
- Säkerhetskopiera det befintliga certifikatet:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Generera en "begäran om certifikatsignering" från det befintliga certifikatet:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Hämtar begäran om privat nyckel
Generera certifikatbegäran
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Hämtar begäran om privat nyckel
Generera certifikatbegäran
- Kontrollera om certifikatet är självsignerat eller signerat av en certifikatutfärdare (CA-signerad):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Obs: Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.
Exempel på utdata för ett CA-signerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
CA Signed
Sample utdata för ett självsignerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Självsignerad
Obs: Det här kommandot ska anges på en enda rad. Alla skiljetecken är viktiga. Vi rekommenderar att du kopierar och klistrar in.
Exempel på utdata för ett CA-signerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
CA Signed
Sample utdata för ett självsignerat certifikat:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Ämne: \|Utfärdare: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] && echo "Självsignerad" || echo "CA Signed"
Självsignerad
- Generera och installera ersättningscertifikatet:
- För CA-signerade certifikat:
- Ge en kopia av begäran om certifikatsignering som genererades i steg 5 till certifikatutfärdaren och begär att de genererar ett ersättningscertifikat med hjälp av en stark signaturalgoritm. Begäran om certifikatsignering finns på /etc/apache2/ssl.csr/server.csr
- Placera det signerade certifikatet som tillhandahålls av certifikatutfärdaren på Avamar-servern i /etc/apache2/ssl.crt/server.crt
- Hoppa över steg 7b och fortsätt proceduren i steg 8
- För CA-signerade certifikat:
Obs! Om certifikatutfärdaren tillhandahöll uppdaterade certifikatkedjefiler tillsammans med det nya certifikatet, se bilaga A för instruktioner om hur du installerar dessa.
- För självsignerade certifikat:
- Generera och installera ett ersättningscertifikat
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -ut ssl.crt/server.crt -dagar 1825
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signatur ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Bekräfta att det nya certifikatet är signerat med SHA-256 eller någon annan stark signaturalgoritm:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signatur"
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha256WithRSAEncryption
Signaturalgoritm: sha256WithRSAEncryption
Exempel på utdata:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "Signature"
Signaturalgoritm: sha256WithRSAEncryption
Signaturalgoritm: sha256WithRSAEncryption
- Starta om Apache-webbservern:
Omstart av
webbplatsenExempel på utdata:
root@avamar:/etc/apache2/#: website restart
===Stänger av webbplatsen Stänger av httpd2
(väntar på att alla underordnade ska avslutas) done
===Startar webbplatsen Startar httpd2
(prefork)
webbplatsenExempel på utdata:
root@avamar:/etc/apache2/#: website restart
===Stänger av webbplatsen Stänger av httpd2
(väntar på att alla underordnade ska avslutas) done
===Startar webbplatsen Startar httpd2
(prefork)
- Proceduren har slutförts
其他資訊
Bilaga A – Installera uppdaterade certifikatkedjefiler
- Skapa en kopia av den befintliga certifikatkedjan
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Installera uppdaterade certifikatkedjefiler
- Om certifikatutfärdaren har tillhandahållit separata mellanliggande certifikat kombinerar du dem till en enda kedjefil:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- I annat fall placerar du den enskilda kedjefilen som tillhandahålls av certifikatutfärdaren på Avamar-servern i /etc/apache2/ssl.crt/ca.crt
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 05 3月 2025
版本: 4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。