Avamar:如何替换 Apache Web Server SHA-1 签名的 SSL 证书
摘要: Avamar:如何替换 Apache Web Server SHA-1 签名的 SSL 证书
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
尝试使用网页浏览器连接到 NetWorker Virtual Edition (NVE)、Avamar Server 或 Avamar Extended Retention (AER) 节点时,即使 NVE、Avamar Server 或 AER 节点上的 Apache Web Server 正常运行,浏览器也会报告网络连接错误并拒绝连接。
原因
自 2017 年 1 月 1 日起,主要网页浏览器供应商已终止对使用 SHA-1 签名的 SSL 证书的支持。某些默认的 NVE、Avamar 和 AER 证书使用 SHA-1 签名。
解析度
- 以管理员用户身份登录到 Avamar 应用工具节点或单节点服务器,然后运行以下命令以切换到 root:
苏-
注意:尾随 - 很重要!
注意:尾随 - 很重要!
- 将目录切换到 Apache 配置目录:
cd /etc/apache2
- 确认当前证书是使用 SHA-1 签名的:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
注意:如果签名算法未报告为 SHA-1,请勿继续执行此过程
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
Signature Algorithm: sha1WithRSAEncryption
Signature Algorithm: sha1WithRSAEncryption
注意:如果签名算法未报告为 SHA-1,请勿继续执行此过程
- 备份现有证书:
cp ssl.crt/server.crt ssl.crt/server.crt.bak.'date -I'
- 从现有证书生成“证书签名请求”:
openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
获取请求 私钥
生成证书请求
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -signkey ssl.key/server.key -x509toreq -out ssl.csr/server.csr
获取请求 私钥
生成证书请求
- 检查证书是自签名的还是由证书颁发机构签名的(CA 签名):
[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:“ |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
注意:此命令应在一行中输入。所有标点符号都很重要。建议进行复制和粘贴。
CA 签名证书的输出示例:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:“ |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
CA Signed
自签名证书的示例输出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:" |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
自签名
注意:此命令应在一行中输入。所有标点符号都很重要。建议进行复制和粘贴。
CA 签名证书的输出示例:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:“ |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
CA Signed
自签名证书的示例输出:
root@avamar:/etc/apache2/#:[ 'openssl x509 -in ssl.crt/server.crt -text -noout | grep “Subject:\|发行:" |sed 's/.*:\(.*\)/\1/' |大学 |wc -l' -eq “1” ] && echo “self-signed” ||echo “CA Signed”
自签名
- 生成并安装更换证书:
- 对于 CA 签名证书:
- 向证书颁发机构提供在步骤 5 中生成的证书签名请求的副本,并请求他们使用强签名算法生成替换证书。证书签名请求位于 /etc/apache2/ssl.csr/server.csr
- 将 CA 提供的签名证书放在 Avamar Server 的 /etc/apache2/ssl.crt/server.crt 中
- 跳过步骤 7b 并继续执行步骤 8 中的过程
- 对于 CA 签名证书:
提醒:如果 CA 随新证书一起提供了更新的证书链文件,请参阅附录 A,了解有关如何安装这些文件的说明。
- 对于自签名证书:
- 生成并安装替换证书
openssl x509-sha256-req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
Sample output:
root@avamar:/etc/apache2/#: openssl x509 -sha256 -req -signkey ssl.key/server.key -in ssl.csr/server.csr -out ssl.crt/server.crt -days 1825
Signature ok
subject=/C=US/ST=CA/L=Irvine/O=Dell EMC/OU=Avamar/CN=avamar.asl.lab.emc.com
- 确认新证书是使用 SHA-256 或其他强签名算法签名的:
openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
签名算法:sha256WithRSAEncryption
签名算法:sha256WithRSAEncryption
示例输出:
root@avamar:/etc/apache2/#: openssl x509 -in ssl.crt/server.crt -text -noout | grep “Signature”
签名算法:sha256WithRSAEncryption
签名算法:sha256WithRSAEncryption
- 重新启动 Apache Web Server:
网站重启
输出示例:
root@avamar:/etc/apache2/#: website restart
===关闭网站
关闭 httpd2 (waiting for all children to terminate) done
===Starting website
Starting httpd2 (prefork)
输出示例:
root@avamar:/etc/apache2/#: website restart
===关闭网站
关闭 httpd2 (waiting for all children to terminate) done
===Starting website
Starting httpd2 (prefork)
- 程序完成
其他資訊
附录 A — 安装更新的证书链文件
- 创建现有证书链的副本
cp /etc/apache2/ssl.crt/ca.crt /etc/apache2/ssl.crt/ca.crt.bak.'date -I'
- 安装更新的证书链文件
- 如果 CA 提供了单独的中间证书,请将它们合并到单个链文件中:
cat cert1 cert2 cert3 cert4 > /etc/apache2/ssl.crt/ca.crt
- 否则,将 CA 提供的单个链文件放在 Avamar Server 上的 /etc/apache2/ssl.crt/ca.crt 中
受影響的產品
Avamar產品
Avamar文章屬性
文章編號: 000170753
文章類型: Solution
上次修改時間: 05 3月 2025
版本: 4
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。