Avamar. Управление безопасностью сеанса с помощью установочного пакета Avinstaller (AVP)

Summary: В этой статье объясняется, как управлять параметрами безопасности сеансов Avamar с помощью пакета установки Avinstaller (AVP).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Предупреждение! Выполнение процедуры AVP безопасности сеанса может привести к перезапуску службы консоли управления (MCS)
 

1. Скачать AVP по безопасности сеансов:

a. Перейдите по ссылке поддержки продукта Dell 

B. Войдите в систему, чтобы просмотреть скачиваемые материалы.

Например, выберите соответствующую версию Avamar:

изображение

Найдите пакет рабочего процесса Avamar Session Security Configuration.

avamar_download.png

c. Скачайте пакет.
 
 

2. Перед установкой выполните следующие действия.

Перед запуском пакета конфигурации безопасности сеансов рекомендуется выполнить следующие действия:
  • Остановите все операции резервного копирования и репликации и убедитесь, что обслуживание не выполняется (контрольная точка, проверка контрольных точек (hfscheck) и сборка мусора).
  • Проверьте наличие действительной контрольной точки.
 

3. Загрузите AVP безопасности сессии в репозиторий пакетов:

После скачивания соответствующего конфигурационного пакета безопасности сеансов возможны два варианта установки:

Вариант 1:

a. Загрузите пакет во временный каталог, например /home/admin на узле Avamar Utility Node.

B. Переместите пакет в каталог /data01/avamar/repo/packages.

mv <package-name> /data01/avamar/repo/packages/

Служба AVinstaller обнаруживает изменения в каталоге и автоматически начинает загрузку пакета в репозиторий пакета.

 

Вариант 2:

a. Откройте страницу веб-сервиса AVinstaller:

https://<avamar_server_ip_or_hostname>/avi
 

B. Перейдите в раздел Repository.

repository.png

c. Найдите на локальном компьютере загруженный пакет конфигурации безопасности сеанса:

browse.png

Пакет обрабатывает:

processing.png

После готовности файл получит статус «Accepted».

available.png

 

4. Установка AVP безопасности сеанса:

a. Если пакет не был загружен с помощью AVinstaller, откройте страницу веб-службы AVinstaller:

https://<avamar_server_ip_or_hostname>/avi
 

B. Перейдите на вкладку «Maintenance», чтобы запустить пакет.

start.png

c. Выберите «Выполнить».

d. На экране «Настройка установки» выберите вкладку «Настройки безопасности» и установите флажок «Показать дополнительные настройки».

setup.png

 
 

Управление параметрами безопасности сеанса:

В раскрывающемся списке «Client-Server Communication and Authentication Type» можно выбрать один из четырех поддерживаемых режимов безопасности сеанса:
1. Disabled
2. Mixed-Single
3. Authenticated-Single
4. Authenticated-Dual
 
Дополнительные сведения о различных режимах см. в разделе Avamar. Session Security
Примечание. Если настройки изменены, во время выполнения пакета происходит перезапуск MCS.
 
 

Создание сертификатов:

Существует два варианта создания сертификатов:
1. Только генерация сертификатов сервера.
2. Создать все новые сертификаты.
 
      • Только создание сертификатов сервера:
        • При выборе в одиночку восстанавливается только GSAN Сертификаты сервера.
          • Описание на экране гласит: «Создает и распространяет сертификаты сервера на сервере Avamar и узлах хранения для использования для проверки подлинности сервера и/или клиента с помощью команды CA certificate в хранилище ключей».
        • При этом в сети Avamar выполняются следующие действия:
          • Запуск enable_secure_config.sh скрипт (enable_secure_config.sh --certs), который делает следующее:
            • Экспортирует внутренний корневой сертификат Avamar из хранилища ключей Avamar:
    keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
              • Сохраняет этот корневой сертификат в следующих двух местах:
    /home/admin/chain.pem
/usr/local/avamar/etc/chain.pem
              • Затем корневой сертификат в avamar_keystore используется для подписи новой пары ключей сертификата для GSANи сохраните в следующих расположениях:
    mcrootca rsatls <nodename> <subject_alt_names>

/home/admin/key.pem
/home/admin/cert.pem
/usr/local/avamar/etc/key.pem
/usr/local/avamar/etc/cert.pem
              • Затем эти сертификаты распространяются на все узлы хранения.
              • И, наконец, GSAN SSL socket перезагружается, чтобы новые подключения к порту 29000 обслуживали восстановленные сертификаты.
    Примечание. Поскольку внутренний корневой сертификат Avamar не изменяется, регистрация зарегистрированных клиентов, прокси-серверов и устройств Data Domain не требует повторной регистрации.
     
     
        • Сгенерировать все новые сертификаты
          • Если этот флажок установлен, автоматически устанавливается флажок «Generate Server Certificates Only».
            Это связано с процессом, который происходит при создании всех новых сертификатов.
            • Описание на экране гласит: «Воссоздает mcrootca и генерирует все новые корни, TLS, and EC root certificates».
          • При этом выполняются следующие действия:
            • Повторное создание внутреннего корневого источника сертификатов (CA) Avamar
            mcrootca all

            (Заменяет внутренний корневой ИС Avamar, хранящийся в avamar_keystore /usr/local/avamar/lib/avamar_keystore)

            • Регенерирует GSAN сертификаты, как описано в предыдущем разделе "Только для создания сертификатов сервера".
     

    Внутренний корневой сертификат Avamar можно просмотреть с помощью следующей команды:

    keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
     
    Предупреждение! При повторном создании внутреннего корневого источника сертификатов Avamar для получения нового Avamar необходимо перерегистрировать зарегистрированные прокси-серверы, клиенты и Data Domains root CA и подписанный сертификат от Avamar MCS, обеспечивающий безопасный взаимный обмен данными по протоколу TLS с Avamar.
     
    Примечание. Если процедура замены внутреннего корневого источника сертификатов Avamar на предоставленный пользователем внутренний корневой источник сертификатов была выполнена ранее (с помощью importcert.sh), то это приведет к очистке этой конфигурации и созданию доверенных самозаверяющих сертификатов Avamar.

    Дополнительные сведения см. в следующих документах. Avamar. Установка или замена Avamar Certificate Authority (CA) на предоставленный пользователем источник сертификатов (CA)
     
     

    E. Когда будете готовы, продолжите выполнение пакета.

    Этот пакет можно использовать несколько раз для настройки этих параметров по мере необходимости.

    Affected Products

    Avamar
    Article Properties
    Article Number: 000222279
    Article Type: How To
    Last Modified: 19 Dec 2025
    Version:  8
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.