Avamar: Informações sobre o recurso check-ssl do DD no Goav

Summary: Este artigo explica como usar o recurso check-ssl do DD no Goav para resolver problemas de conectividade SSL entre o Avamar e o Data Domain.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Download e instalação da ferramenta Goav

Para fazer download e instalar a ferramenta Avamar Goav, consulte o artigo Avamar: ferramenta Goav da Dell, com o ID 000192151.

Depois que o Goav for colocado no Avamar, acesse o diretório e torne a ferramenta executável.

chmod a+x goav

Comando

Use o recurso check-ssl do Data Domain executando o seguinte comando:

./goav dd check-ssl

Confira a tela de ajuda para usar:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Caso de uso

Quando o Data Domain é integrado ao Avamar e a segurança da sessão está ativada, pode haver um problema de certificado entre eles.

Use essa ferramenta para diagnosticar possíveis problemas de certificado entre o Avamar e o Data Domain.

Exemplos

Execute verificações passivas para garantir que nenhuma alteração seja feita no Avamar ou no Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Se uma verificação falhar, haverá uma mensagem de erro associada a ela.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Use o indicador fix para permitir a correção automática dos problemas identificados.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Descrição das verificações

Session Security

  • Quando a opção Session Security está habilitada, os certificados são trocados entre o Avamar e o Data Domain.
  • Quando a opção Session Security está desabilitada, os certificados não são trocados entre o Avamar e o Data Domain. Portanto, não há motivo para executar a ferramenta.
  • Quando o indicador fix for usado, se a opção Session Security estiver desabilitada, ela não será habilitada automaticamente.

Indicadores DDR Security Feature Manual e Host Cert Auto Refresh

  • Na maioria dos casos, esses indicadores devem ter o status false no mcserver.xml do Avamar.
  • Definir o indicador manual como false permite que o MCS assine a solicitação de assinatura de certificado do Data Domain e gere um certificado de host assinado para o Data Domain.
  • Se o indicador manual for true, o MCS não tentará gerar um certificado de host assinado para o Data Domain.
  • Definir o indicador host certificate auto refresh como false é a configuração usual, pois o certificado de host assinado será gerado novamente sempre que estiver ausente.
  • A ferramenta garante que ambos os indicadores sejam definidos com o valor padrão false.
  • Quando o indicador fix for usado, os dois indicadores mencionados acima se tornarão false automaticamente se forem definidos como true.

GSAN Certificate Chain e Server Certificate Expiration

  • O GSAN é executado na porta 29000, que hospeda uma conexão TCP segura com um par de chaves e a cadeia de certificados.
  • A ferramenta verifica se esses certificados não estão expirados.
  • Quando o indicador fix for usado, se a cadeia de certificados do GSAN estiver expirada, ela será regenerada usando "mcrootca" e "enable_secure_config.sh".
  • Se apenas o certificado de servidor do GSAN estiver expirado, ele poderá ser gerado novamente usando "enable_secure_config.sh", sem nenhum tempo de inatividade. O indicador fix faz isso automaticamente.

Get Attached Data Domains

  • Recupere Data Domains adicionados do repositório persistente ddrmaint.
  • As verificações a seguir são feitas para cada Data Domain conectado.

Check DDR Key Exists

  • Verifique se a chave privada DDR, usada para autenticação sem senha do Avamar para o Data Domain, existe e é legível.
  • Quando o indicador fix é usado, se a chave não existir, ela será gerada novamente de maneira automática usando "mcddrsetup_sshkey" e a nova chave importada para cada Data Domain conectado.

Test Port 22

  • Certifique-se de que a porta 22 esteja aberta entre o Avamar e o Data Domain e que o Data Domain esteja escutando.
  • Se a porta for fechada e o indicador fix for usado, nenhuma alteração será feita.

Test DDR Key SSH Authentication

  • Tente se conectar ao Data Domain conectado usando a chave privada DDR existente, em vez de uma senha.
  • Quando o indicador fix for usado, se essa conexão falhar, a ferramenta importará automaticamente a chave privada DDR existente para o Data Domain.

Data Domain SCP Enabled

  • Certifique-se de que o Secure Copy Protocol (SCP) esteja habilitado no Data Domain.
  • O SCP é usado para transferir arquivos, como os certificados, entre o Avamar e o Data Domain. Se ele estiver desabilitado, o Avamar não poderá enviar os certificados para o Data Domain.
  • Se o SCP estiver desabilitado e o indicador fix for usado, a ferramenta habilitará automaticamente o SCP no Data Domain.

Data Domain NFS Enabled

  • Certifique-se de que a versão 3 ou 4 do NFS esteja habilitada no Data Domain.
  • Quando o indicador fix for usado, se o NFS estiver desabilitado, a ferramenta habilitará automaticamente o NFS, que é o padrão para habilitar o NFS versão 3.
  • Se o NFS estiver desabilitado, o Avamar e o Data Domain não poderão se comunicar corretamente.

Data Domain System Passphrase

  • Certifique-se de que a frase secreta do sistema Data Domain esteja definida.
  • A frase secreta do sistema Data Domain deve ser definida para que o sistema possa oferecer suporte à criptografia de dados, solicitar certificados digitais e proteger contra destruição de dados.
  • Quando o indicador fix for usado, se a frase secreta não estiver definida, nenhuma alteração será feita. O usuário precisará, então, definir a frase secreta do sistema Data Domain em um momento conveniente, de preferência usando a interface Web do Data Domain em Administration -> Access -> Administrator Access.

Data Domain Imported Host DDBoost

  • Verifique se o certificado de host assinado (imported-host ddboost) no Data Domain existe e não expirou.
  • Esse certificado é assinado pelo MCS (cadeia de certificados do GSAN).
  • Quando o indicador fix for usado, se o certificado estiver ausente ou expirado, a ferramenta tentará gerá-lo novamente com as etapas a seguir.
    • Excluir o certificado ddboost do host importado existente.
    • Carregar a cadeia de certificados do GSAN do Avamar.
    • Excluir os certificados existentes ca ddboost e login-auth importados (cadeia de certificados do GSAN do Avamar) no Data Domain.
    • Reiniciar o DDBoost.
    • Reiniciar o MCS.
    • Realizar uma sincronização do Data Domain enviando um comando "mccli dd edit", que faz com que o MCS gere e importe os novos certificados para o Data Domain.

Data Domain Host Issuer is Attached

  • Verifique se o certificado de host assinado do Data Domain (imported-host ddboost) tem uma cadeia de certificados do GSAN do Avamar emparelhada (imported ca ddboost), que possa ser exportada com sucesso.
  • Quando o indicador fix for usado, se houver falha na validação, a ferramenta tentará gerar o certificado novamente com as etapas a seguir.
    • Excluir o certificado ddboost do host importado existente.
    • Carregar a cadeia de certificados do GSAN do Avamar.
    • Excluir os certificados existentes ca ddboost e login-auth importados (cadeia de certificados do GSAN do Avamar) no Data Domain.
    • Reiniciar o DDBoost.
    • Reiniciar o MCS.
    • Realizar uma sincronização do Data Domain enviando um comando "mccli dd edit", que faz com que o MCS gere e importe os novos certificados para o Data Domain.
  • Essa verificação é útil porque o Data Domain pode ser usado por vários Avamar Servers, cada um com a própria cadeia de certificados do GSAN. O certificado de host assinado do Data Domain só é assinado por um Avamar e deve ser capaz de localizar o certificado que o assinou.

Avamar Chain Imported to Data Domain

  • Verifique se a cadeia de certificados do GSAN do Avamar é importada para o Data Domain.
  • Faça uma comparação entre a impressão digital SHA1 da cadeia presente no Avamar Server e um ou mais certificados ca ddboost importados, presentes no Data Domain.
  • Essa verificação é feita porque a cadeia do Avamar pode não ser importada ou uma cadeia antiga do Avamar, proveniente do mesmo servidor, pode existir em seu lugar, talvez na instância de nova geração de certificados no Avamar.
  • Quando vários servidores Avamar usam o mesmo Data Domain, cada cadeia de certificados do GSAN do Avamar deve estar presente no Data Domain como certificados ca ddboost e login-auth importados. Apenas um deles é o emissor do certificado de host assinado do Data Domain.
  • Quando o indicador fix for usado, se houver falha na verificação, a ferramenta tentará gerar o certificado novamente com as etapas a seguir.
    • Excluir o certificado ddboost do host importado existente.
    • Carregar a cadeia de certificados do GSAN do Avamar.
    • Excluir os certificados existentes ca ddboost e login-auth importados (cadeia de certificados do GSAN do Avamar) no Data Domain.
    • Reiniciar o DDBoost.
    • Reiniciar o MCS.
    • Realizar uma sincronização do Data Domain enviando um comando "mccli dd edit", que faz com que o MCS gere e importe os novos certificados para o Data Domain.

Backup Scheduler Status

  • Essa é uma verificação auxiliar para garantir que o agendador de backups esteja em um estado conhecido para o usuário.
  • Essa é a única verificação que solicita a inicialização do serviço, independentemente do uso do indicador fix.

 

Additional Information

Veja este vídeo:

(Você também pode assistir a este vídeo no YouTubeEsse hiperlink direcionará você para um site fora da Dell Technologies..)

 

Affected Products

Avamar, Data Domain
Article Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.