Avamar: Installieren oder Ersetzen der Avamar-Zertifizierungsstelle (CA) durch eine vom Nutzer bereitgestellte Zertifizierungsstelle (CA)
Summary: Anleitung zum Ersetzen der standardmäßigen selbstsignierten MCS-Stammzertifizierungsstellen (Management Console Service) durch eine eigene CA für gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Hintergrund
Avamar stellt mehrere Ports bereit, auf denen Zertifikate installiert sind.
Die Webserver auf Avamar stellen die folgenden Ports mit SSL-Zertifikaten bereit:
Wenn die Sitzungssicherheit aktiviert ist, laden die folgenden Ports SSL-Zertifikate:
Wenn die Sitzungssicherheit aktiviert ist, laden Backup-Clients SSL-Zertifikate auf die folgenden Ports:
In diesem Artikel zur Vorgehensweise wird beschrieben, in welchem Kontext die Zertifizierungsstelle auf den sicheren Ports ersetzt werden soll, die verwendet werden, wenn die Sitzungssicherheit für Clientregistrierung, Backups und Replikation aktiviert ist.
Drehbücher
Erstes Szenario:
Wenn Sie die Avamar-Webserverzertifikate ersetzen möchten, finden Sie weitere Informationen im folgenden KB-Artikel 000198691
| Avamar 19.2+: Installieren signierter Webserverzertifikate für avinstaller, aam/flr/dtlt, mcsdk, rmi und apache aui
Zweites Szenario:
Wenn Sie die Zertifikate ersetzen möchten, die für Backups/Replikation/Registrierung (GSAN/MC-Root-CA) verwendet werden,
führen Sie die folgenden Schritte aus, um die Avamar-CA durch Ihre eigene CA zu ersetzen.
Hintergrund der Sitzungssicherheit
Aus dem Produktsicherheitsleitfaden
Sicherheitsfunktionen
für SitzungenDie Avamar-Sitzungssicherheitsfunktionen werden durch die Avamar-Installation, die AVE-Konfiguration (Avamar Virtual Edition), Upgrade-Workflowpakete und den eigenständigen Sitzungssicherheitskonfigurationsworkflow bereitgestellt.
Die Sitzungssicherheitsfunktionen umfassen Sicherheitsverbesserungen für die Kommunikation zwischen Avamar-Systemprozessen.
Das Avamar -System sichert die gesamte Kommunikation zwischen Avamar-Systemprozessen mithilfe von Sitzungstickets. Ein gültiges Sitzungsticket ist erforderlich, bevor ein Avamar-Systemprozess eine Übertragung von einem anderen Avamar-Systemprozess akzeptiert.
Die Sitzungstickets weisen die folgenden allgemeinen Merkmale auf:
- Das Sitzungsticket ist verschlüsselt und signiert, um es vor Änderungen zu schützen.
- Das Sessionticket ist für kurze Zeit gültig.
- Jedes Sitzungsticket enthält eine eindeutige Signatur und ist nur einem Avamar-Systemprozess zugewiesen.
- Die Integrität eines Session-Tickets wird durch Verschlüsselung geschützt.
- Jeder Avamar-Systemknoten überprüft die Signatur des Sitzungstickets separat.
- Eine Sitzung kann bei Bedarf über die Lebensdauer des Sitzungstickets hinaus verlängert werden.
Avamar Serverauthentifizierung
Nach der Installation der Sitzungssicherheitsfunktionen fungiert das Avamar-System als private Zertifizierungsstelle und erzeugt ein eindeutiges Serverzertifikat für das Avamar-System.
Das Avamar -System installiert den öffentlichen Schlüssel für das Serverzertifikat auf jedem Avamar -Client, der beim Avamar -Server registriert ist. Avamar Clients authentifizieren Übertragungen vom Avamar-System mithilfe des öffentlichen Schlüssels.
Bei Clients, die derzeit registriert sind, werden der öffentliche Schlüssel für das Serverzertifikat und andere erforderliche Zertifikatdateien innerhalb einer Stunde nach der Installation an den Client übertragen.Das Avamar-System teilt das Avamar Server-Zertifikat auch automatisch mit den Avamar Storage Nodes. Durch die gemeinsame Nutzung des Zertifikats können der Utility-Node und die Storage Nodes dasselbe Zertifikat für die Authentifizierung bereitstellen.
Es gibt einen ergänzenden Wissensdatenbank-Artikel mit weiteren Informationen zur Sitzungssicherheit:
000222278 | Avamar: Sitzungssicherheit
Überprüfen der Sitzungssicherheitseinstellungen
Melden Sie sich mit SSH
beim Avamar-Server an. Führen Sie als Root-Nutzer den folgenden Befehl aus:
Wenn eine der Einstellungen "true" zurückgibt, wird die Sitzungssicherheit aktiviert.
Wenn Sie zusätzliche Hilfe beim Ändern der Sitzungssicherheitseinstellungen benötigen, lesen Sie die folgenden KB-Artikel:
000222234 | Avamar: Verwalten von Sitzungssicherheitseinstellungen über die CLI
000222279 | Avamar: Verwalten von Sitzungssicherheitseinstellungen mit dem Avinstaller-Installationspaket (AVP)
Notizen
Unterschied zwischen dem Ersetzen von Webserverzertifikaten und GSAN/MCS-Stammzertifikaten:
- Webserverzertifikate werden mithilfe der AUI ersetzt.
- Webserverzertifikate können öffentliche oder intern verkettete ca verwenden.
- Webserverzertifikate installieren ein Blatt-/Server-/Endentitätszertifikat mit dem entsprechenden privaten Schlüssel.
- Das Serverzertifikat des Webserverzertifikats hat eine grundlegende Einschränkung der Zertifizierungsstelle: False, was darauf hinweist, dass das Zertifikat NICHT verwendet werden kann, um weitere Downstream-CA-Zertifikate auszustellen (wie eine andere Zwischen-CA) – gsan/mcs-Stammzertifikate,
die mit importcert.sh Skript auf dem Avamar Utility Node ersetzt wurden.
- GSAN/MCS-Stammzertifikate sind CA-Zertifikate, KEINE Leaf/Server/End-Entity.
- GSAN/MCS-Stammzertifikate haben eine grundlegende Einschränkung der Zertifizierungsstelle: Wahr
Was ist eine Grundeinschränkung?
Basic Constraints ist eine X.509 Version 3 Zertifikaterweiterung und wird verwendet, um den Typ des Zertifikatinhabers oder Antragstellers zu identifizieren.
Wenn es sich bei dem Zertifikat um eine Stammzertifizierungsstelle oder Zwischenzertifizierungsstelle handelt, wird erwartet, dass es über eine grundlegende Einschränkungserweiterung verfügt, wobei der boolesche Wert der Zertifizierungsstelle auf "True" festgelegt ist. Auf diese Weise kann das Zertifikat andere Zertifikate und Zertifikatsperrlisten (Certificate Revocation List, CRLs) signieren, die Signatur ausgestellter Zertifikate validieren und optional Einschränkungen oder Einschränkungen für die Konfiguration ausgestellter Zertifikate festlegen.
Wenn es sich bei dem Zertifikat um ein Blatt-/Server-/Endentitätszertifikat handelt, wird erwartet, dass es über eine Basic Constraints Extension verfügt, wobei der boolesche Wert der Zertifizierungsstelle auf False festgelegt ist. Ein Endentitätszertifikat kann keine weiteren Downstreamzertifikate signieren.
Beim Ersetzen der GSAN/MC-Stamm-CA-Zertifikate werden sie durch eine andere Zertifizierungsstelle (CA) ersetzt. Wahrscheinlich intern, da keine öffentlich vertrauenswürdige Zertifizierungsstelle jemals ihren privaten CA-Schlüssel an einen Endkunden weitergeben würde.
Schritte zum Ersetzen einer Avamar-Zertifizierungsstelle durch eine von NutzerInnen bereitgestellte Zertifizierungsstelle
1. Bereiten Sie Ihre Stamm-/Zwischenzertifikatdateien vor:
-privater Schlüssel: Der private Schlüssel, der dem am weitesten nachgeschalteten CA-Zertifikat entspricht, das Zertifikate ausstellen kann.
- 'server'-Zertifikat: Das am weitesten nachgeschaltete CA-Zertifikat im PEM-Format (Privacy-Enhanced Mail), das Zertifikate ausstellen kann.
- Kettenzertifikat: eine Datei mit verketteten PEM-formatierten Zwischen-/Root-CA-Zertifikaten, um eine Vertrauenskette aufzubauen.
2. Führen Sie das importcert.sh-Skript als Root-Nutzer aus, um die neue vom Nutzer bereitgestellte Zertifizierungsstelle zu installieren:
Beenden Sie MCS und den Backup-Scheduler.
- Überprüfen Sie, ob der Schlüssel und das Zertifikat übereinstimmen.
- Stellen Sie sicher, dass die Kettendatei eine Vertrauenskette für das Zertifikat erstellt.
- Importieren Sie die Dateien in den Avamar-Keystore.
- Aktualisieren Sie die GSAN-Zertifikate.
- MCS
starten – Versuchen Sie, alle Clients erneut zu registrieren.
- Erneute Synchronisierung mit Data Domain.
- Setzen Sie den Backup-Scheduler-Service fort.
Beispiel
Drei Dateien vorbereitet
int_key.pem - interner privater Zwischen-CA-Schlüssel im PKCS1-Format
int_cert.crt - internes Zwischen-CA-Zertifikat
root_ca.crt - internes Root-CA-Zertifikat
int_key.pem
int_cert.crt
root_ca.crt
Installation
Nach der Installation
Sobald das Installationsskript abgeschlossen ist, müssen Sie möglicherweise einige agentenbasierte Clients und VMware-Proxys manuell erneut registrieren.
Wenn Sie den Inhalt des Avamar Keystore überprüfen möchten, um das Ergebnis der Ausführung des Skripts anzuzeigen, führen Sie den folgenden Befehl aus:
Mcrsaroot sollte ein reiner CA-Alias mit einer grundlegenden Einschränkungs-CA sein: Richtig
Mcrsatls sollte ein vollständig verkettetes Endentitätszertifikat sein, das von der vom Nutzer bereitgestellten Downstream-CA an den Avamar Server ausgestellt wird
Wenn Sie validieren möchten, ob die Zertifikate ersetzt wurden, können Sie eine Verbindung zum Avamar Utility Node als sicherer Client herstellen, indem Sie openssl verwenden, um die Zertifikatinhalte für die gsan/mcs/registration-Ports abzurufen.
Avamar stellt mehrere Ports bereit, auf denen Zertifikate installiert sind.
Die Webserver auf Avamar stellen die folgenden Ports mit SSL-Zertifikaten bereit:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Wenn die Sitzungssicherheit aktiviert ist, laden die folgenden Ports SSL-Zertifikate:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Wenn die Sitzungssicherheit aktiviert ist, laden Backup-Clients SSL-Zertifikate auf die folgenden Ports:
Port Service 30002 Avagent/MCS secure listening port (backup client)
In diesem Artikel zur Vorgehensweise wird beschrieben, in welchem Kontext die Zertifizierungsstelle auf den sicheren Ports ersetzt werden soll, die verwendet werden, wenn die Sitzungssicherheit für Clientregistrierung, Backups und Replikation aktiviert ist.
Drehbücher
Erstes Szenario:
Wenn Sie die Avamar-Webserverzertifikate ersetzen möchten, finden Sie weitere Informationen im folgenden KB-Artikel 000198691
| Avamar 19.2+: Installieren signierter Webserverzertifikate für avinstaller, aam/flr/dtlt, mcsdk, rmi und apache aui
Zweites Szenario:
Wenn Sie die Zertifikate ersetzen möchten, die für Backups/Replikation/Registrierung (GSAN/MC-Root-CA) verwendet werden,
führen Sie die folgenden Schritte aus, um die Avamar-CA durch Ihre eigene CA zu ersetzen.
Hintergrund der Sitzungssicherheit
Aus dem Produktsicherheitsleitfaden
Sicherheitsfunktionen
für SitzungenDie Avamar-Sitzungssicherheitsfunktionen werden durch die Avamar-Installation, die AVE-Konfiguration (Avamar Virtual Edition), Upgrade-Workflowpakete und den eigenständigen Sitzungssicherheitskonfigurationsworkflow bereitgestellt.
Die Sitzungssicherheitsfunktionen umfassen Sicherheitsverbesserungen für die Kommunikation zwischen Avamar-Systemprozessen.
Das Avamar -System sichert die gesamte Kommunikation zwischen Avamar-Systemprozessen mithilfe von Sitzungstickets. Ein gültiges Sitzungsticket ist erforderlich, bevor ein Avamar-Systemprozess eine Übertragung von einem anderen Avamar-Systemprozess akzeptiert.
Die Sitzungstickets weisen die folgenden allgemeinen Merkmale auf:
- Das Sitzungsticket ist verschlüsselt und signiert, um es vor Änderungen zu schützen.
- Das Sessionticket ist für kurze Zeit gültig.
- Jedes Sitzungsticket enthält eine eindeutige Signatur und ist nur einem Avamar-Systemprozess zugewiesen.
- Die Integrität eines Session-Tickets wird durch Verschlüsselung geschützt.
- Jeder Avamar-Systemknoten überprüft die Signatur des Sitzungstickets separat.
- Eine Sitzung kann bei Bedarf über die Lebensdauer des Sitzungstickets hinaus verlängert werden.
Avamar Serverauthentifizierung
Nach der Installation der Sitzungssicherheitsfunktionen fungiert das Avamar-System als private Zertifizierungsstelle und erzeugt ein eindeutiges Serverzertifikat für das Avamar-System.
Das Avamar -System installiert den öffentlichen Schlüssel für das Serverzertifikat auf jedem Avamar -Client, der beim Avamar -Server registriert ist. Avamar Clients authentifizieren Übertragungen vom Avamar-System mithilfe des öffentlichen Schlüssels.
Bei Clients, die derzeit registriert sind, werden der öffentliche Schlüssel für das Serverzertifikat und andere erforderliche Zertifikatdateien innerhalb einer Stunde nach der Installation an den Client übertragen.Das Avamar-System teilt das Avamar Server-Zertifikat auch automatisch mit den Avamar Storage Nodes. Durch die gemeinsame Nutzung des Zertifikats können der Utility-Node und die Storage Nodes dasselbe Zertifikat für die Authentifizierung bereitstellen.
Es gibt einen ergänzenden Wissensdatenbank-Artikel mit weiteren Informationen zur Sitzungssicherheit:
000222278 | Avamar: Sitzungssicherheit
Überprüfen der Sitzungssicherheitseinstellungen
Melden Sie sich mit SSH
beim Avamar-Server an. Führen Sie als Root-Nutzer den folgenden Befehl aus:
enable_secure_config.sh --showconfig
Wenn eine der Einstellungen "true" zurückgibt, wird die Sitzungssicherheit aktiviert.
Wenn Sie zusätzliche Hilfe beim Ändern der Sitzungssicherheitseinstellungen benötigen, lesen Sie die folgenden KB-Artikel:
000222234 | Avamar: Verwalten von Sitzungssicherheitseinstellungen über die CLI
000222279 | Avamar: Verwalten von Sitzungssicherheitseinstellungen mit dem Avinstaller-Installationspaket (AVP)
Notizen
Unterschied zwischen dem Ersetzen von Webserverzertifikaten und GSAN/MCS-Stammzertifikaten:
- Webserverzertifikate werden mithilfe der AUI ersetzt.
- Webserverzertifikate können öffentliche oder intern verkettete ca verwenden.
- Webserverzertifikate installieren ein Blatt-/Server-/Endentitätszertifikat mit dem entsprechenden privaten Schlüssel.
- Das Serverzertifikat des Webserverzertifikats hat eine grundlegende Einschränkung der Zertifizierungsstelle: False, was darauf hinweist, dass das Zertifikat NICHT verwendet werden kann, um weitere Downstream-CA-Zertifikate auszustellen (wie eine andere Zwischen-CA) – gsan/mcs-Stammzertifikate,
die mit importcert.sh Skript auf dem Avamar Utility Node ersetzt wurden.
- GSAN/MCS-Stammzertifikate sind CA-Zertifikate, KEINE Leaf/Server/End-Entity.
- GSAN/MCS-Stammzertifikate haben eine grundlegende Einschränkung der Zertifizierungsstelle: Wahr
Was ist eine Grundeinschränkung?
Basic Constraints ist eine X.509 Version 3 Zertifikaterweiterung und wird verwendet, um den Typ des Zertifikatinhabers oder Antragstellers zu identifizieren.
Wenn es sich bei dem Zertifikat um eine Stammzertifizierungsstelle oder Zwischenzertifizierungsstelle handelt, wird erwartet, dass es über eine grundlegende Einschränkungserweiterung verfügt, wobei der boolesche Wert der Zertifizierungsstelle auf "True" festgelegt ist. Auf diese Weise kann das Zertifikat andere Zertifikate und Zertifikatsperrlisten (Certificate Revocation List, CRLs) signieren, die Signatur ausgestellter Zertifikate validieren und optional Einschränkungen oder Einschränkungen für die Konfiguration ausgestellter Zertifikate festlegen.
Wenn es sich bei dem Zertifikat um ein Blatt-/Server-/Endentitätszertifikat handelt, wird erwartet, dass es über eine Basic Constraints Extension verfügt, wobei der boolesche Wert der Zertifizierungsstelle auf False festgelegt ist. Ein Endentitätszertifikat kann keine weiteren Downstreamzertifikate signieren.
Beim Ersetzen der GSAN/MC-Stamm-CA-Zertifikate werden sie durch eine andere Zertifizierungsstelle (CA) ersetzt. Wahrscheinlich intern, da keine öffentlich vertrauenswürdige Zertifizierungsstelle jemals ihren privaten CA-Schlüssel an einen Endkunden weitergeben würde.
Schritte zum Ersetzen einer Avamar-Zertifizierungsstelle durch eine von NutzerInnen bereitgestellte Zertifizierungsstelle
1. Bereiten Sie Ihre Stamm-/Zwischenzertifikatdateien vor:
-privater Schlüssel: Der private Schlüssel, der dem am weitesten nachgeschalteten CA-Zertifikat entspricht, das Zertifikate ausstellen kann.
- 'server'-Zertifikat: Das am weitesten nachgeschaltete CA-Zertifikat im PEM-Format (Privacy-Enhanced Mail), das Zertifikate ausstellen kann.
- Kettenzertifikat: eine Datei mit verketteten PEM-formatierten Zwischen-/Root-CA-Zertifikaten, um eine Vertrauenskette aufzubauen.
2. Führen Sie das importcert.sh-Skript als Root-Nutzer aus, um die neue vom Nutzer bereitgestellte Zertifizierungsstelle zu installieren:
importcert.sh <private key> <cert> <chain>Das Skript führt Folgendes aus:
Beenden Sie MCS und den Backup-Scheduler.
- Überprüfen Sie, ob der Schlüssel und das Zertifikat übereinstimmen.
- Stellen Sie sicher, dass die Kettendatei eine Vertrauenskette für das Zertifikat erstellt.
- Importieren Sie die Dateien in den Avamar-Keystore.
- Aktualisieren Sie die GSAN-Zertifikate.
- MCS
starten – Versuchen Sie, alle Clients erneut zu registrieren.
- Erneute Synchronisierung mit Data Domain.
- Setzen Sie den Backup-Scheduler-Service fort.
Beispiel
Drei Dateien vorbereitet
int_key.pem - interner privater Zwischen-CA-Schlüssel im PKCS1-Format
int_cert.crt - internes Zwischen-CA-Zertifikat
root_ca.crt - internes Root-CA-Zertifikat
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Installation
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Nach der Installation
Sobald das Installationsskript abgeschlossen ist, müssen Sie möglicherweise einige agentenbasierte Clients und VMware-Proxys manuell erneut registrieren.
Wenn Sie den Inhalt des Avamar Keystore überprüfen möchten, um das Ergebnis der Ausführung des Skripts anzuzeigen, führen Sie den folgenden Befehl aus:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Decknamen:
Mcrsaroot sollte ein reiner CA-Alias mit einer grundlegenden Einschränkungs-CA sein: Richtig
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Beispiel:
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls sollte ein vollständig verkettetes Endentitätszertifikat sein, das von der vom Nutzer bereitgestellten Downstream-CA an den Avamar Server ausgestellt wird
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Beispiel:
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Wenn Sie validieren möchten, ob die Zertifikate ersetzt wurden, können Sie eine Verbindung zum Avamar Utility Node als sicherer Client herstellen, indem Sie openssl verwenden, um die Zertifikatinhalte für die gsan/mcs/registration-Ports abzurufen.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Fehlerbehebung
Wenn während des Skripts der folgende Fehler auftritt, ist dies wahrscheinlich auf den Versuch zurückzuführen, ein Endentitätszertifikat anstelle einer Zertifizierungsstelle zu installieren, die Zertifikate ausstellen kann.
5. Refresh tls cert Refresh tls ERROR
Wenn der Port 30002 auf dem Avamar Utility Node weiterhin die alten Zertifikate anzeigt, nachdem das Skript erfolgreich abgeschlossen wurde, starten Sie Avagent neu.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.