Avamar: Apache Web Sunucusu SHA-1 imzalı SSL sertifikası nasıl değiştirilir
摘要: Avamar: Apache Web Sunucusu SHA-1 imzalı SSL sertifikası nasıl değiştirilir
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Bir web tarayıcısı kullanarak NetWorker Virtual Edition (NVE), Avamar Server veya Avamar Extended Retention (AER) düğümüne bağlanmaya çalışırken tarayıcı bir ağ bağlantısı hatası bildiriyor ve NVE, Avamar Server veya AER düğümündeki Apache Web Server normal şekilde çalışıyor olsa bile bağlanmayı reddediyor.
原因
SHA-1 kullanılarak imzalanan SSL sertifikaları desteği, 1 Ocak 2017 tarihinden itibaren geçerli olmak üzere büyük web tarayıcısı satıcıları tarafından sonlandırılmıştır. Bazı varsayılan NVE, Avamar ve AER sertifikaları SHA-1 kullanılarak imzalanır.
解析度
- Avamar yardımcı yazılım düğümünde veya tek düğüm sunucusunda yönetici kullanıcı olarak oturum açın, ardından köke geçmek için aşağıdaki komutu çalıştırın:
su -
Not: Takip eden - önemlidir!
Not: Takip eden - önemlidir!
- Dizinleri Apache yapılandırma dizinine değiştirin:
cd /etc/apache2
- Geçerli sertifikanın SHA-1 kullanılarak imzalandığını doğrulayın:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha1WithRSAEncryption İmza Algoritması: sha1WithRSAEncryption
Not: İmza algoritması SHA-1 olarak bildirilmiyorsa bu prosedüre devam etmeyin
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha1WithRSAEncryption İmza Algoritması: sha1WithRSAEncryption
Not: İmza algoritması SHA-1 olarak bildirilmiyorsa bu prosedüre devam etmeyin
- Mevcut sertifikayı yedekleyin:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Mevcut sertifikadan bir "sertifika imzalama isteği" oluşturun:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
İstek alma Özel Anahtar
Sertifika isteği oluşturma
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
İstek alma Özel Anahtar
Sertifika isteği oluşturma
- Sertifikanın kendinden imzalı mı yoksa bir Sertifika Yetkilisi (CA imzalı) tarafından mı imzalandığını kontrol edin:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA İmzalı"
Not: Bu komut tek bir satıra girilmelidir. Tüm noktalama işaretleri önemlidir. Kopyalayıp yapıştırmanız önerilir.
CA imzalı sertifika için örnek çıktı:root@avamar:
/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA Signed"
CA Signed
Kendinden imzalı sertifika için örnek çıktı:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA İmzalı"
Kendinden imzalı
Not: Bu komut tek bir satıra girilmelidir. Tüm noktalama işaretleri önemlidir. Kopyalayıp yapıştırmanız önerilir.
CA imzalı sertifika için örnek çıktı:root@avamar:
/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA Signed"
CA Signed
Kendinden imzalı sertifika için örnek çıktı:root@avamar:/etc/apache2/#:
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Subject: \|Veren: " | sed 's/.*:\(.*\)/\1/' | Uniq | wc -l' -eq "1" ] & echo "Kendinden imzalı" || echo "CA İmzalı"
Kendinden imzalı
- Yedek sertifikayı oluşturun ve yükleyin:
- CA İmzalı sertifikalar için:
- 5. adımda oluşturulan sertifika imzalama isteğinin bir kopyasını Sertifika Yetkilisine sağlayın ve güçlü bir imza algoritması kullanarak yeni bir sertifika oluşturmasını isteyin. Sertifika imzalama isteği /etc/apache2/ssl.csr/server.csr adresinde bulunur
- CA tarafından sağlanan imzalı sertifikayı /etc/apache2/ssl.crt/server.crt dizinindeki Avamar sunucusuna yerleştirin
- 7b adımını atlayın ve 8. adımdaki prosedüre devam edin
- CA İmzalı sertifikalar için:
Not: CA, yeni sertifikayla birlikte güncelleştirilmiş sertifika zincir dosyalarını da sağladıysa bunların nasıl yükleneceğiyle ilgili talimatlar için Ek A'ya bakın.
- Otomatik olarak imzalanan sertifikalar için:
- Yedek sertifika oluşturma ve yükleme
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Yeni sertifikanın SHA-256 veya başka bir güçlü imza algoritması kullanılarak imzalandığını doğrulayın:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha256WithRSAEncryption İmza Algoritması: sha256WithRSAEncryption
Örnek çıktı:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep "İmza"
İmza Algoritması: sha256WithRSAEncryption İmza Algoritması: sha256WithRSAEncryption
- Apache web sunucusunu yeniden başlatın:
Web Sitesi Yeniden Başlatma
Örnek çıktı:
root@avamar:/etc/apache2/#: web sitesi yeniden başlatılıyor
===Web sitesi
kapatılıyor httpd2 kapatılıyor (tüm çocukların sonlandırılması bekleniyor) tamamlandı
===Web sitesi
başlatılıyor httpd2 başlatılıyor (prefork)
Örnek çıktı:
root@avamar:/etc/apache2/#: web sitesi yeniden başlatılıyor
===Web sitesi
kapatılıyor httpd2 kapatılıyor (tüm çocukların sonlandırılması bekleniyor) tamamlandı
===Web sitesi
başlatılıyor httpd2 başlatılıyor (prefork)
- Prosedür tamamlandı
其他資訊
Ek A - Güncelleştirilmiş sertifika zincir dosyalarını yükleme
- Mevcut sertifika zincirinin bir kopyasını oluşturma
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Güncelleştirilmiş sertifika zincir dosyalarını yükleme
- CA ayrı ara sertifikalar sağlamışsa bunları tek bir zincir dosyasında birleştirin:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- Aksi takdirde, CA tarafından sağlanan tek zincirlik dosyayı /etc/apache2/ssl.crt/ca.crt dizinindeki Avamar sunucusuna yerleştirin
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 13 1月 2026
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。