Avamar: Jak spravovat zabezpečení relace pomocí instalačního balíčku Avinstaller (AVP)

Summary: Tento článek vysvětluje, jak spravovat nastavení zabezpečení relace Avamar pomocí instalačního balíčku Avinstaller (AVP).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Varování: Spuštěním postupu AVP zabezpečení relace může restartovat službu MCS (Management Console)
 

1. Stáhnout AVP zabezpečení relace:

A. Přejděte na odkaz Podpora produktů společnosti Dell 

B. Chcete-li zobrazit soubory ke stažení, přihlaste se.

Vyberte například příslušnou verzi softwaru Avamar:

obrázek

Vyhledejte balíček pracovního postupu konfigurace zabezpečení relace Avamar:

avamar_download.png

c. Stáhněte si balíček.
 
 

2. Před instalací:

Před spuštěním konfiguračního balíčku zabezpečení relace je vhodné provést následující kroky:
  • Zastavte veškeré zálohování, replikaci a ujistěte se, že neběží žádná údržba (kontrolní bod, ověření kontrolního bodu (hfscheck) a uvolňování paměti).
  • Zkontrolujte, zda existuje platný kontrolní bod.
 

3. Nahrajte antivirový program zabezpečení relace AVP do úložiště balíčků:

Po stažení příslušného konfiguračního balíčku zabezpečení relace existují dvě možnosti instalace:

Možnost 1:

A. Nahrajte balíček do dočasného adresáře, například /home/admin, v uzlu nástroje Avamar.

B. Přesuňte balíček do adresáře /data01/avamar/repo/packages:

mv <package-name> /data01/avamar/repo/packages/

Služba AVinstaller detekuje změny v adresáři a automaticky začne načítat balíček do úložiště balíčků.

 

Možnost 2:

A. Otevřete AVinstaller web stránka služby:

https://<avamar_server_ip_or_hostname>/avi
 

B. Přejděte do části Repository:

repository.png

c. Vyhledejte v místním počítači stažený konfigurační balíček Session Security:

browse.png

Balíček zpracovává:

processing.png

Jakmile je vše připraveno, stav je "Přijato":

available.png

 

4. Instalace antiviru zabezpečení relace:

A. Pokud balíček nebyl nahrán pomocí AVinstalleru, otevřete AVinstaller web stránka služby:

https://<avamar_server_ip_or_hostname>/avi
 

B. Přejděte na kartu "Maintenance" a spusťte balíček.

start.png

c. Vyberte možnost Spustit.

d. Na obrazovce "Nastavení instalace" vyberte kartu Nastavení zabezpečení a zaškrtněte políčko "Zobrazit rozšířená nastavení".

setup.png

 
 

Správa nastavení zabezpečení relace:

V rozevíracím seznamu "Client-Server Communication and Authentication Type" můžete vybrat ze čtyř podporovaných režimů zabezpečení relace:
1. Zakázáno
2. Mixed-Single
3. Authenticated-Single
4. Authenticated-Dual
 
Další informace o různých režimech naleznete v tématu Avamar: Session Security
Poznámka: Pokud dojde ke změně nastavení, dojde během spuštění balíčku k restartování služby MCS.
 
 

Generování certifikátů:

Existují dvě možnosti výběru pro generování certifikátů:
1. Generovat pouze certifikáty serveru.
2. Vygenerujte všechny nové certifikáty.
 
      • Generovat pouze certifikáty serveru:
        • Je-li tato možnost vybrána samostatně, regeneruje se pouze GSAN serverové certifikáty.
          • V popisu na obrazovce je uvedeno "Vytváří a šíří serverové certifikáty na serveru Avamar a uzlech úložiště, které se budou používat k ověřování serveru nebo klienta pomocí CA certificate nainstalované v úložišti klíčů."
        • Tím se v mřížce Avamar provedou následující akce:
          • Spustí enable_secure_config.sh skript (enable_secure_config.sh --certs), který provede následující:
            • Export interního kořenového certifikátu Avamar z úložiště klíčů Avamar:
    keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
              • Uloží tento kořenový certifikát do následujících dvou umístění:
    /home/admin/chain.pem
/usr/local/avamar/etc/chain.pem
              • Kořenový certifikát v avamar_keystore se pak použije k podepsání nového páru klíčů certifikátu pro GSANa uloženy do následujících umístění:
    mcrootca rsatls <nodename> <subject_alt_names>

/home/admin/key.pem
/home/admin/cert.pem
/usr/local/avamar/etc/key.pem
/usr/local/avamar/etc/cert.pem
              • Tyto certifikáty se pak šíří do všech uzlů úložiště.
              • A konečně, GSAN SSL socket se znovu načte, takže nová připojení k portu 29000 budou obsluhovat znovu vygenerované certifikáty.
    Poznámka: Jelikož se interní kořenový certifikát systému Avamar nezmění , registrovaní klienti, proxy servery a systémy Data Domain nevyžadují opětovnou registraci.
     
     
        • Vygenerovat všechny nové certifikáty
          • Je-li toto políčko zaškrtnuto, automaticky se také zaškrtne políčko "Generovat pouze serverové certifikáty".
            Důvodem je proces, ke kterému dochází při generování všech nových certifikátů.
            • Popis na obrazovce uvádí: "Obnovuje mcrootca a vygeneruje všechny nové kořeny, TLS, and EC root certificates.“
          • Tím se provedou následující akce:
            • Opětovné vygenerování interní kořenové certifikační autority (CA) Avamar
            mcrootca all

            (Nahrazuje interní kořenovou certifikační autoritu Avamar uloženou v avamar_keystore /usr/local/avamar/lib/avamar_keystore)

            • Regeneruje GSAN certifikáty, jak je popsáno v předchozí části "Generování pouze certifikátů serveru".
     

    Interní kořenový certifikát Avamar lze zobrazit pomocí následujícího příkazu:

    keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
     
    Varování: Po opětovném vygenerování interní kořenové certifikační autority Avamar je nutné znovu zaregistrovat registrované proxy servery, klienty a systémy Data Domain , aby bylo možné získat nový systém Avamar root CA a podepsaný certifikát od systému Avamar MCS, který umožňuje zabezpečenou vzájemnou komunikaci TLS se systémem Avamar.
     
    Poznámka: Pokud jste dříve postupovali podle postupu výměny interní kořenové certifikační autority Avamar za interní kořenovou certifikační autoritu dodanou uživatelem (pomocí importcert.sh), vymaže se tato konfigurace a vygenerují se interně důvěryhodné certifikáty Avamar podepsané držitelem.

    Další informace najdete v následujících dokumentech: Avamar: Instalace nebo výměna certifikační autority (CA) Avamar za certifikační autoritu (CA) dodanou uživatelem
     
     

    E. Až budete připraveni, pokračujte ve spouštění balíčku.

    Balíček lze použít vícekrát ke konfiguraci těchto nastavení podle potřeby.

    Affected Products

    Avamar
    Article Properties
    Article Number: 000222279
    Article Type: How To
    Last Modified: 19 Dec 2025
    Version:  8
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.