Авамар: Як замінити SSL-сертифікат Apache Web Server з підписом SHA-1
摘要: Авамар: Як замінити SSL-сертифікат Apache Web Server з підписом SHA-1
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
При спробі підключитися до вузла NetWorker Virtual Edition (NVE), Avamar або Avamar Extended Retention (AER) за допомогою веб-браузера браузер повідомляє про помилку підключення до мережі і відмовляється підключатися, навіть якщо веб-сервер Apache на NVE, сервері Avamar або вузлі AER працює нормально.
原因
Підтримка сертифікатів SSL, підписаних за допомогою SHA-1, була припинена основними постачальниками веб-браузерів з 1 січня 2017 року. Деякі сертифікати NVE, Avamar і AER за замовчуванням підписуються за допомогою протоколу SHA-1.
解析度
- Увійдіть в утиліту Avamar або сервер з одним вузлом як користувач адміністратора, а потім виконайте наступну команду, щоб переключитися на root:
Су-
Примітка: Задня частина - це важливо!
Примітка: Задня частина - це важливо!
- Змініть директорії в директорію конфігурації Apache:
CD /etc/apache2
- Переконайтеся, що поточний сертифікат підписано за допомогою SHA-1:
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Підпис"
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha1WithRSAEncryption
Алгоритм підпису: sha1WithRSAEncryption
Примітка. Якщо алгоритм підпису не вказано як SHA-1, не продовжуйте цю процедуру
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha1WithRSAEncryption
Алгоритм підпису: sha1WithRSAEncryption
Примітка. Якщо алгоритм підпису не вказано як SHA-1, не продовжуйте цю процедуру
- Створіть резервну копію існуючого сертифіката:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- Згенеруйте "запит на підписання сертифіката" з існуючого сертифіката:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Отримання запиту Запит на генерацію приватного ключа
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
Отримання запиту Запит на генерацію приватного ключа
- Перевірте, чи сертифікат підписано самостійно або підписано центром сертифікації (підписано ЦС):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || відлуння "ЦС підписано"
Примітка: Цю команду слід вводити в одному рядку. Всі розділові знаки важливі. Рекомендується копіювати і вставляти.
Приклад виводу для сертифіката, підписаного CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || echo "CA Signed"
CA Signed
Sample вихід для самопідписаного сертифіката:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || відлуння "ЦС Підписано"
Самопідписано
Примітка: Цю команду слід вводити в одному рядку. Всі розділові знаки важливі. Рекомендується копіювати і вставляти.
Приклад виводу для сертифіката, підписаного CA:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || echo "CA Signed"
CA Signed
Sample вихід для самопідписаного сертифіката:
root@avamar:/etc/apache2/#: [ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep "Тема: \|Емітента: " | sed 's/.*:\(.*\)/\1/' | UNIQ | wc -l' -eq "1" ] && echo "Самопідписаний" || відлуння "ЦС Підписано"
Самопідписано
- Згенеруйте та встановіть сертифікат заміни:
- Для сертифікатів CA Signed:
- Надайте копію запиту на підписування сертифіката, згенерованого на кроці 5, до центру сертифікації та попросіть його створити сертифікат для заміни за допомогою надійного алгоритму підпису. Запит на підписання сертифіката знаходиться за адресою /etc/apache2/ssl.csr/server.csr
- Розмістіть підписаний сертифікат, наданий ЦС, на сервері Avamar у /etc/apache2/ssl.crt/server.crt
- Пропустіть крок 7b і продовжіть процедуру на кроці 8
- Для сертифікатів CA Signed:
Примітка: Якщо ЦС надав оновлений файл(и) ланцюжка сертифікатів разом із новим сертифікатом, зверніться до Додатка А, щоб отримати інструкції щодо їх встановлення.
- Для самопідписаних сертифікатів:
- Згенеруйте та встановіть сертифікат на заміну
openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -днів 1825
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -днів 1825
Підпис ок тема
=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Приклад виведення:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -днів 1825
Підпис ок тема
=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- Переконайтеся, що новий сертифікат підписано за допомогою SHA-256 або іншого надійного алгоритму підпису.
openssl x509 -in ssl.crt/server.crt -text -noout | grep "Підпис"
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha256WithRSAEncryption
Алгоритм підпису: sha256WithRSAEncryption
Приклад виводу:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | Алгоритм підпису "Підпис"
grep: sha256WithRSAEncryption
Алгоритм підпису: sha256WithRSAEncryption
- Перезавантажте веб-сервер Apache:
Перезавантаження
сайтуПриклад виведення:
root@avamar:/etc/apache2/#: перезапуск
веб-сайту===Вимкнення веб-сайту Вимкнення httpd2
(очікування завершення роботи всіх дочірніх елементів) done
===Запуск веб-сайту
Запуск httpd2 (prefork)
сайтуПриклад виведення:
root@avamar:/etc/apache2/#: перезапуск
веб-сайту===Вимкнення веб-сайту Вимкнення httpd2
(очікування завершення роботи всіх дочірніх елементів) done
===Запуск веб-сайту
Запуск httpd2 (prefork)
- Процедуру завершено
其他資訊
Додаток A - Встановлення оновленого(их) файлу(ів) ланцюга сертифікатів
- Створення копії існуючого ланцюжка сертифікатів
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- Інсталяція оновленого файлу ланцюжка сертифікатів
- Якщо ЦС надав окремі проміжні сертифікати, об'єднайте їх в єдиний ланцюговий файл:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- В іншому випадку розмістіть файл одного ланцюга, наданий ЦС, на сервері Avamar у /etc/apache2/ssl.crt/ca.crt
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 05 3月 2025
版本: 4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。