Avamar : Installation ou remplacement de l’autorité de certification (CA) Avamar par une autorité de certification (CA) fournie par l’utilisateur
Summary: Procédure de remplacement des autorités de certification (CA) racine auto-signées par défaut du service MCS (Management Console Service) par sa propre autorité de certification pour gsan/mcs/avagent. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Arrière-plan
Avamar expose plusieurs ports sur lesquels sont installés des certificats.
Les serveurs Web sur Avamar exposent les ports suivants avec des certificats SSL :
Lorsque la sécurité de session est activée, les ports suivants chargent les certificats SSL :
Lorsque la sécurité de session est activée, les clients de sauvegarde chargent les certificats SSL sur les ports suivants :
Cet article de la base de connaissances a pour objectif de décrire le contexte approprié dans lequel remplacer l’autorité de certification sur les ports sécurisés utilisés lorsque la sécurité de session est activée pour l’enregistrement des clients, les sauvegardes et la réplication.
Scénarios
Premier scénario :
Si vous souhaitez remplacer les certificats du serveur Web Avamar, reportez-vous à l’article suivant de la base de connaissances :
000198691 | Avamar 19.2+ : Installer les certificats de serveur Web signés pour avinstaller, aam/flr/dtlt, mcsdk, rmi et apache aui
Deuxième scénario :
Si vous souhaitez remplacer les certificats utilisés pour les sauvegardes/réplications/enregistrements (autorité de certification racine gsan/mc) :
Suivez les étapes ci-dessous pour remplacer l’autorité de certification Avamar par votre propre autorité de certification.
Arrière-plan
de sécurité de la sessionÀ partir du Guide
de sécurité du produitFonctions
de sécurité de sessionLes fonctions de sécurité des sessions Avamar sont fournies par l’installation d’Avamar, la configuration d’Avamar Virtual Edition (AVE), les packages de workflow de mise à niveau et le workflow de configuration de la sécurité de session autonome.
Les fonctions de sécurité de session comprennent des améliorations de la sécurité des communications entre les processus du système Avamar.
Le système Avamar sécurise toutes les communications entre les processus du système Avamar à l’aide de tickets de session. Un ticket de session valide est requis avant qu’un processus système Avamar accepte une transmission à partir d’un autre processus système Avamar.
Les tickets de session ont les caractéristiques générales suivantes :
- Le ticket de session est crypté et signé pour le protéger contre toute modification.
- Le billet de session est valable pour une courte période.
- Chaque ticket de session contient une signature unique et n’est attribué qu’à un seul processus du système Avamar.
- L’intégrité d’un ticket de session est protégée par cryptage.
- Chaque nœud du système Avamar vérifie séparément la signature du ticket de session.
- Une session peut être prolongée au-delà de la durée de vie du billet de session si nécessaire.
Authentification
du serveur AvamarAprès avoir installé les fonctions de sécurité de session, le système Avamar agit en tant qu’autorité de certification privée et génère un certificat de serveur unique pour le système Avamar.
Le système Avamar installe la clé publique du certificat de serveur sur chaque client Avamar enregistré sur le serveur Avamar. Les Avamar Clients utilisent la clé publique pour authentifier les transmissions provenant du système Avamar.
Pour les clients actuellement enregistrés, la clé publique du certificat de serveur et les autres fichiers de certificat requis sont propagés au client dans l’heure qui suit l’installation.Par ailleurs, le système Avamar partage automatiquement le certificat d’Avamar Server avec les nœuds de stockage Avamar. Le partage du certificat permet au nœud utilitaire et aux nœuds de stockage de fournir le même certificat pour l’authentification.
Vous trouverez ci-dessous un article supplémentaire de la base de connaissances contenant plus d’informations sur la sécurité des sessions :
000222278 | Avamar : Sécurité de session
Vérifier les paramètres
de sécurité de sessionConnectez-vous à l’instance d’Avamar Server à l’aide de SSH
En tant qu’utilisateur root, exécutez la commande suivante :
Si l’un des paramètres est défini sur true, la sécurité de session est activée.
Si vous avez besoin d’aide supplémentaire pour modifier les paramètres de sécurité d’une session, consultez les articles suivants de la base de connaissances :
000222234 | Avamar : Gérer les paramètres de sécurité de session à partir de la CLI
000222279 | Avamar : Gérer les paramètres de sécurité de session avec Avinstaller Installation Package (AVP)
Notes
Différence entre le remplacement des certificats de serveur Web et des certificats racine gsan/mcs :
- Les certificats de serveur Web sont remplacés à l’aide de l’aui.
- Les certificats de serveur Web peuvent utiliser une autorité de certification chaînée publique ou interne.
- Les certificats de serveur Web installent un certificat feuille/serveur/entité finale avec sa clé privée correspondante.
- Le certificat serveur du certificat de serveur Web a une contrainte de base de CA : False indique que le certificat ne peut PAS être utilisé pour émettre d’autres certificats d’autorité de certification en aval (comme une autre autorité de certification intermédiaire)
: les certificats racine gsan/mcs sont remplacés à l’aide d’importcert.sh script sur Avamar Utility Node.
- Les certificats racine gsan/mcs sont des certificats d’autorité de certification, et NON des certificats leaf/serveur/entité finale.
- Les certificats racine gsan/mcs ont une contrainte de base de CA : Vrai
Qu’est-ce qu’une contrainte de base ?
Contraintes de base est une extension de certificat X.509 Version 3 qui permet d’identifier le type du détenteur du certificat ou de l’objet.
Si le certificat est une autorité de certification racine ou intermédiaire, il devrait avoir une extension de contraintes de base avec le booléen de l’autorité de certification défini sur True. Cela permet au certificat de signer d’autres certificats et listes de révocation de certificats (CRL), de valider la signature des certificats émis et, éventuellement, de définir des restrictions ou des contraintes sur la configuration des certificats émis.
Si le certificat est un certificat feuille/serveur/d’entité finale, il doit avoir une extension de contraintes de base avec la valeur booléenne CA définie sur False. Un certificat d’entité finale ne peut pas signer d’autres certificats en aval.
Lors du remplacement des certificats d’autorité de certification racine GSAN/MC, ils sont remplacés par une autre autorité de certification (AC). Probablement interne, car aucune autorité de certification de confiance ne remettrait jamais sa clé privée d’autorité de certification à un client final.
Étapes de remplacement d’une autorité de certification Avamar par une autorité de certification
fournie par l’utilisateur1. Préparez vos fichiers de certificat racine/intermédiaire :
- Clé privée : Clé privée correspondant au certificat d’autorité de certification descendant qui a la capacité d’émettre des certificats.
- Certificat 'server' : Certificat d’autorité de certification descendant au format PEM (Privacy-Enhanced Mail) qui a la capacité d’émettre des certificats.
- certificat de chaîne : un fichier contenant des certificats d’autorité de certification intermédiaires/racine au format PEM concaténés pour construire une chaîne de confiance.
2. Exécutez le script importcert.sh en tant qu’utilisateur root pour installer la nouvelle autorité de certification fournie par l’utilisateur :
- Arrêtera MCS et l’ordonnanceur de sauvegarde.
- Vérifiez la correspondance entre la clé et le certificat.
- Vérifiez que le fichier de chaîne crée une chaîne de confiance pour le certificat.
- Importez les fichiers dans le magasin de clés Avamar.
- Actualisez les certificats GSAN.
- Démarrez MCS
: essayez de réinscrire tous les clients.
- Resynchronisation avec Data Domain.
- Reprenez le service d’ordonnanceur de sauvegarde.
Exemple
Trois fichiers préparés
int_key.pem : clé privée d’autorité de certification intermédiaire interne au format
PKCS1 int_cert.crt : certificat
d’autorité de certification intermédiaire interne root_ca.crt : certificat
d’autorité de certification racine interne int_key.pem
int_cert.crt
root_ca.crt
Installation
Post-installation
Une fois le script d’installation terminé, il peut être nécessaire de réenregistrer manuellement certains clients basés sur agent et certains proxys VMware.
Si vous souhaitez vérifier le contenu de l’Avamar Keystore pour voir le résultat de l’exécution du script, exécutez la commande suivante :
Mcrsaroot doit être un alias CA uniquement avec une contrainte CA de base : Vrai
Mcrsatls doit être un certificat d’entité finale en chaîne complète émis pour Avamar Server par une autorité de certification descendante fournie par l’utilisateur
Si vous souhaitez vérifier que les certificats ont bien été remplacés, vous pouvez vous connecter à Avamar Utility Node en tant que client sécurisé à l’aide d’OpenSSL pour récupérer le contenu du certificat pour les ports gsan/mcs/d’enregistrement.
Avamar expose plusieurs ports sur lesquels sont installés des certificats.
Les serveurs Web sur Avamar exposent les ports suivants avec des certificats SSL :
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Lorsque la sécurité de session est activée, les ports suivants chargent les certificats SSL :
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Lorsque la sécurité de session est activée, les clients de sauvegarde chargent les certificats SSL sur les ports suivants :
Port Service 30002 Avagent/MCS secure listening port (backup client)
Cet article de la base de connaissances a pour objectif de décrire le contexte approprié dans lequel remplacer l’autorité de certification sur les ports sécurisés utilisés lorsque la sécurité de session est activée pour l’enregistrement des clients, les sauvegardes et la réplication.
Scénarios
Premier scénario :
Si vous souhaitez remplacer les certificats du serveur Web Avamar, reportez-vous à l’article suivant de la base de connaissances :
000198691 | Avamar 19.2+ : Installer les certificats de serveur Web signés pour avinstaller, aam/flr/dtlt, mcsdk, rmi et apache aui
Deuxième scénario :
Si vous souhaitez remplacer les certificats utilisés pour les sauvegardes/réplications/enregistrements (autorité de certification racine gsan/mc) :
Suivez les étapes ci-dessous pour remplacer l’autorité de certification Avamar par votre propre autorité de certification.
Arrière-plan
de sécurité de la sessionÀ partir du Guide
de sécurité du produitFonctions
de sécurité de sessionLes fonctions de sécurité des sessions Avamar sont fournies par l’installation d’Avamar, la configuration d’Avamar Virtual Edition (AVE), les packages de workflow de mise à niveau et le workflow de configuration de la sécurité de session autonome.
Les fonctions de sécurité de session comprennent des améliorations de la sécurité des communications entre les processus du système Avamar.
Le système Avamar sécurise toutes les communications entre les processus du système Avamar à l’aide de tickets de session. Un ticket de session valide est requis avant qu’un processus système Avamar accepte une transmission à partir d’un autre processus système Avamar.
Les tickets de session ont les caractéristiques générales suivantes :
- Le ticket de session est crypté et signé pour le protéger contre toute modification.
- Le billet de session est valable pour une courte période.
- Chaque ticket de session contient une signature unique et n’est attribué qu’à un seul processus du système Avamar.
- L’intégrité d’un ticket de session est protégée par cryptage.
- Chaque nœud du système Avamar vérifie séparément la signature du ticket de session.
- Une session peut être prolongée au-delà de la durée de vie du billet de session si nécessaire.
Authentification
du serveur AvamarAprès avoir installé les fonctions de sécurité de session, le système Avamar agit en tant qu’autorité de certification privée et génère un certificat de serveur unique pour le système Avamar.
Le système Avamar installe la clé publique du certificat de serveur sur chaque client Avamar enregistré sur le serveur Avamar. Les Avamar Clients utilisent la clé publique pour authentifier les transmissions provenant du système Avamar.
Pour les clients actuellement enregistrés, la clé publique du certificat de serveur et les autres fichiers de certificat requis sont propagés au client dans l’heure qui suit l’installation.Par ailleurs, le système Avamar partage automatiquement le certificat d’Avamar Server avec les nœuds de stockage Avamar. Le partage du certificat permet au nœud utilitaire et aux nœuds de stockage de fournir le même certificat pour l’authentification.
Vous trouverez ci-dessous un article supplémentaire de la base de connaissances contenant plus d’informations sur la sécurité des sessions :
000222278 | Avamar : Sécurité de session
Vérifier les paramètres
de sécurité de sessionConnectez-vous à l’instance d’Avamar Server à l’aide de SSH
En tant qu’utilisateur root, exécutez la commande suivante :
enable_secure_config.sh --showconfig
Si l’un des paramètres est défini sur true, la sécurité de session est activée.
Si vous avez besoin d’aide supplémentaire pour modifier les paramètres de sécurité d’une session, consultez les articles suivants de la base de connaissances :
000222234 | Avamar : Gérer les paramètres de sécurité de session à partir de la CLI
000222279 | Avamar : Gérer les paramètres de sécurité de session avec Avinstaller Installation Package (AVP)
Notes
Différence entre le remplacement des certificats de serveur Web et des certificats racine gsan/mcs :
- Les certificats de serveur Web sont remplacés à l’aide de l’aui.
- Les certificats de serveur Web peuvent utiliser une autorité de certification chaînée publique ou interne.
- Les certificats de serveur Web installent un certificat feuille/serveur/entité finale avec sa clé privée correspondante.
- Le certificat serveur du certificat de serveur Web a une contrainte de base de CA : False indique que le certificat ne peut PAS être utilisé pour émettre d’autres certificats d’autorité de certification en aval (comme une autre autorité de certification intermédiaire)
: les certificats racine gsan/mcs sont remplacés à l’aide d’importcert.sh script sur Avamar Utility Node.
- Les certificats racine gsan/mcs sont des certificats d’autorité de certification, et NON des certificats leaf/serveur/entité finale.
- Les certificats racine gsan/mcs ont une contrainte de base de CA : Vrai
Qu’est-ce qu’une contrainte de base ?
Contraintes de base est une extension de certificat X.509 Version 3 qui permet d’identifier le type du détenteur du certificat ou de l’objet.
Si le certificat est une autorité de certification racine ou intermédiaire, il devrait avoir une extension de contraintes de base avec le booléen de l’autorité de certification défini sur True. Cela permet au certificat de signer d’autres certificats et listes de révocation de certificats (CRL), de valider la signature des certificats émis et, éventuellement, de définir des restrictions ou des contraintes sur la configuration des certificats émis.
Si le certificat est un certificat feuille/serveur/d’entité finale, il doit avoir une extension de contraintes de base avec la valeur booléenne CA définie sur False. Un certificat d’entité finale ne peut pas signer d’autres certificats en aval.
Lors du remplacement des certificats d’autorité de certification racine GSAN/MC, ils sont remplacés par une autre autorité de certification (AC). Probablement interne, car aucune autorité de certification de confiance ne remettrait jamais sa clé privée d’autorité de certification à un client final.
Étapes de remplacement d’une autorité de certification Avamar par une autorité de certification
fournie par l’utilisateur1. Préparez vos fichiers de certificat racine/intermédiaire :
- Clé privée : Clé privée correspondant au certificat d’autorité de certification descendant qui a la capacité d’émettre des certificats.
- Certificat 'server' : Certificat d’autorité de certification descendant au format PEM (Privacy-Enhanced Mail) qui a la capacité d’émettre des certificats.
- certificat de chaîne : un fichier contenant des certificats d’autorité de certification intermédiaires/racine au format PEM concaténés pour construire une chaîne de confiance.
2. Exécutez le script importcert.sh en tant qu’utilisateur root pour installer la nouvelle autorité de certification fournie par l’utilisateur :
importcert.sh <private key> <cert> <chain>Le script :
- Arrêtera MCS et l’ordonnanceur de sauvegarde.
- Vérifiez la correspondance entre la clé et le certificat.
- Vérifiez que le fichier de chaîne crée une chaîne de confiance pour le certificat.
- Importez les fichiers dans le magasin de clés Avamar.
- Actualisez les certificats GSAN.
- Démarrez MCS
: essayez de réinscrire tous les clients.
- Resynchronisation avec Data Domain.
- Reprenez le service d’ordonnanceur de sauvegarde.
Exemple
Trois fichiers préparés
int_key.pem : clé privée d’autorité de certification intermédiaire interne au format
PKCS1 int_cert.crt : certificat
d’autorité de certification intermédiaire interne root_ca.crt : certificat
d’autorité de certification racine interne int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Installation
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Post-installation
Une fois le script d’installation terminé, il peut être nécessaire de réenregistrer manuellement certains clients basés sur agent et certains proxys VMware.
Si vous souhaitez vérifier le contenu de l’Avamar Keystore pour voir le résultat de l’exécution du script, exécutez la commande suivante :
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Alias:
Mcrsaroot doit être un alias CA uniquement avec une contrainte CA de base : Vrai
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"exemple
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls doit être un certificat d’entité finale en chaîne complète émis pour Avamar Server par une autorité de certification descendante fournie par l’utilisateur
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"exemple
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Si vous souhaitez vérifier que les certificats ont bien été remplacés, vous pouvez vous connecter à Avamar Utility Node en tant que client sécurisé à l’aide d’OpenSSL pour récupérer le contenu du certificat pour les ports gsan/mcs/d’enregistrement.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Dépannage
Si vous rencontrez l’erreur suivante pendant le script, elle est probablement due à une tentative d’installation d’un certificat d’entité finale au lieu d’une autorité de certification capable d’émettre des certificats.
5. Refresh tls cert Refresh tls ERROR
Si le port 30002 d’Avamar Utility Node affiche toujours les anciens certificats après la fin du script, redémarrez Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.