Avamar: So verwalten Sie die Sitzungssicherheit mit dem Avinstaller Installation Package (AVP)

Summary: In diesem Artikel wird erläutert, wie Sie die Einstellungen für die Avamar-Sitzungssicherheit mithilfe des Avinstaller-Installationspakets (AVP) managen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Warnung: Durch das Ausführen des AVP-Verfahrens zur Sitzungssicherheit wird möglicherweise der Managementkonsolendienst (MCS) neu gestartet
 

1. Laden Sie Session Security AVP herunter:

ein. Navigieren Sie zum Dell Produktsupport-Link. 

B. Melden Sie sich an, um die Downloads anzuzeigen.

Wählen Sie beispielsweise die entsprechende Avamar-Version aus:

Bild

Suchen Sie nach dem Workflowpaket Avamar Session Security Configuration:

avamar_download.png

c. Laden Sie das Paket herunter.
 
 

2. Vor der Installation:

Es wird empfohlen, die folgenden Schritte durchzuführen, bevor Sie das Sicherheitskonfigurationspaket für die Sitzung ausführen:
  • Beenden Sie alle Backups und Replikationen und stellen Sie sicher, dass keine Wartung ausgeführt wird (Prüfpunkt, Kontrollpunktvalidierung (hfscheck) und Garbage Collection).
  • Überprüfen Sie, ob ein gültiger Prüfpunkt vorhanden ist.
 

3. Laden Sie den Sitzungssicherheits-AVP in das Paket-Repository hoch:

Sobald das entsprechende Sitzungssicherheitskonfigurationspaket heruntergeladen wurde, gibt es zwei Optionen für die Installation:

Möglichkeit 1:

ein. Laden Sie das Paket in ein temporäres Verzeichnis hoch, z. B. /home/admin auf dem Avamar Utility Node.

B. Verschieben des Pakets in das Verzeichnis /data01/avamar/repo/packagesaus:

mv <package-name> /data01/avamar/repo/packages/

Der AVinstaller-Service erkennt Änderungen am Verzeichnis und beginnt automatisch mit dem Laden des Pakets in das Paket-Repository.

 

Möglichkeit 2:

ein. Öffnen Sie die AVinstaller-Webserviceseite:

https://<avamar_server_ip_or_hostname>/avi
 

B. Navigieren Sie zum Abschnitt Repository:

repository.png

c. Durchsuchen Sie den lokalen Rechner nach dem heruntergeladenen Sitzungssicherheitskonfigurationspaket:

browse.png

Das Paket verarbeitet:

processing.png

Sobald er bereit ist, lautet der Status "Akzeptiert":

available.png

 

4. Sitzungssicherheits-AVP installieren:

ein. Wenn das Paket nicht mit dem AVinstaller hochgeladen wurde, öffnen Sie die AVinstaller-Webserviceseite:

https://<avamar_server_ip_or_hostname>/avi
 

B. Wechseln Sie zur Registerkarte "Maintenance", um das Paket auszuführen.

start.png

c. Wählen Sie Ausführen aus.

d. Wählen Sie auf dem Bildschirm "Installation Setup" die Registerkarte "Security Settings" aus und aktivieren Sie das Kontrollkästchen "Show advanced settings".

setup.png

 
 

Verwalten der Sitzungssicherheitseinstellungen:

Die Dropdown-Auswahl "Client-Server-Kommunikation und Authentifizierungstyp" ermöglicht die Auswahl der vier unterstützten Sitzungssicherheitsmodi:
1. Deaktiviert
2. Mixed-Single
3. Authenticated-Single
4. Authenticated-Dual
 
Weitere Informationen zu den verschiedenen Modi finden Sie unter Avamar: Sitzungssicherheit
Hinweis: Wenn die Einstellungen geändert werden, erfolgt ein MCS-Neustart während der Ausführung des Pakets.
 
 

Erzeugen von Zertifikaten:

Für die Generierung von Zertifikaten gibt es zwei Auswahlmöglichkeiten:
1. Nur Serverzertifikate erzeugen.
2. Erzeugen Sie alle neuen Zertifikate.
 
      • Nur Serverzertifikate erzeugen:
        • Bei alleiniger Auswahl wird nur die GSAN Serverzertifikate.
          • Die Beschreibung auf dem Bildschirm lautet: "Erstellt und propagiert Serverzertifikate auf dem Avamar Server und den Storage Nodes, die für die Server- und/oder Clientauthentifizierung mithilfe der CA certificate im Keystore installiert ist."
        • Dadurch werden die folgenden Aktionen auf dem Avamar-Raster durchgeführt:
          • Führt den Befehl enable_secure_config.sh Skript (enable_secure_config.sh --certs), die Folgendes bewirkt:
            • Exportiert das interne Avamar-Stammzertifikat aus dem Avamar-Keystore:
    keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
              • Speichert dieses Stammzertifikat an den folgenden beiden Speicherorten:
    /home/admin/chain.pem
/usr/local/avamar/etc/chain.pem
              • Das Stammzertifikat im avamar_keystore wird dann verwendet, um ein neues Schlüsselpaar für das Zertifikat zu signieren. GSANund an den folgenden Speicherorten gespeichert:
    mcrootca rsatls <nodename> <subject_alt_names>

/home/admin/key.pem
/home/admin/cert.pem
/usr/local/avamar/etc/key.pem
/usr/local/avamar/etc/cert.pem
              • Diese Zertifikate werden dann auf alle Speicher-Nodes propagiert.
              • Zu guter Letzt GSAN SSL socket wird neu geladen, sodass neue Verbindungen zu Port 29000 hergestellt werden, um die neu erzeugten Zertifikate bereitzustellen.
    Hinweis: Da das interne Avamar-Stammzertifikat nicht geändert wird, müssen die registrierten Clients, Proxys und Data Domains nicht erneut registriert werden.
     
     
        • Erzeugen aller neuen Zertifikate
          • Wenn dieses Kontrollkästchen aktiviert ist, wird automatisch auch das Kontrollkästchen "Nur Serverzertifikate generieren" aktiviert.
            Dies liegt an dem Prozess, der beim Generieren aller neuen Zertifikate stattfindet.
            • Die Beschreibung auf dem Bildschirm lautet: "Erstellt Neu mcrootca und erzeugt alle neuen Root-Wurzeln, TLS, and EC root certificates“.
          • Dadurch werden die folgenden Aktionen ausgeführt:
            • Die interne Stammzertifizierungsstelle (CA) von Avamar neu generieren
            mcrootca all

            (Dadurch wird die im avamar_keystore gespeicherte interne Avamar-Stammzertifizierungsstelle ersetzt. /usr/local/avamar/lib/avamar_keystore)

            • Erzeugt die GSAN Zertifikate, wie im vorherigen Abschnitt "Nur Serverzertifikate generieren" beschrieben.
     

    Das interne Avamar-Stammzertifikat kann mit dem folgenden Befehl angezeigt werden:

    keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
     
    Warnung: Da die interne Root-CA von Avamar neu erstellt wird, müssen registrierte Proxys, Clients und Data Domains erneut registriert werden, um die neue Avamar-Instanz zu erhalten root CA und ein signiertes Zertifikat vom Avamar-MCS, das eine sichere gegenseitige TLS-Kommunikation mit Avamar ermöglicht.
     
    Hinweis: Wenn das Verfahren zum Ersetzen der internen Avamar-Stammzertifizierungsstelle durch eine vom Nutzer bereitgestellte interne Stammzertifizierungsstelle befolgt wurde (mithilfe von importcert.sh), wird diese Konfiguration gelöscht und intern vertrauenswürdige selbstsignierte Avamar-Zertifikate erzeugt.

    Weitere Informationen finden Sie in den folgenden Themen: Avamar: Installieren oder Ersetzen der Avamar-Zertifizierungsstelle (CA) durch eine vom Nutzer bereitgestellte Zertifizierungsstelle (CA)
     
     

    E. Wenn Sie bereit sind, fahren Sie mit der Ausführung des Pakets fort.

    Das Paket kann mehrmals verwendet werden, um diese Einstellungen nach Bedarf zu konfigurieren.

    Affected Products

    Avamar
    Article Properties
    Article Number: 000222279
    Article Type: How To
    Last Modified: 19 Dec 2025
    Version:  8
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.