Avamar: Avamar certificeringsinstantie (CA) installeren of vervangen door door de gebruiker geleverde certificeringsinstantie (CA)
Summary: De standaard zelfondertekende MCS-basiscertificaatautoriteiten (Management Console Service) vervangen door een eigen CA voor gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Achtergrond
Avamar maakt verschillende poorten beschikbaar met certificaten die erop zijn geïnstalleerd.
De webservers op Avamar maken de volgende poorten beschikbaar met SSL-certificaten:
Wanneer sessiebeveiliging is ingeschakeld, laden de volgende poorten SSL-certificaten:
Wanneer sessiebeveiliging is ingeschakeld, laden back-upclients SSL-certificaten op de volgende poorten:
In dit 'how-to' KB-artikel wordt de juiste context beschreven voor het vervangen van de certificeringsinstantie op de beveiligde poorten die worden gebruikt wanneer sessiebeveiliging is ingeschakeld voor clientregistratie, back-ups en replicatie.
Scenario 's
Eerste scenario:
Als u de Avamar-webservercertificaten wilt vervangen, raadpleegt u het volgende KB-artikel:
000198691 | Avamar 19.2+ : Installatie van ondertekende webservercertificaten voor avinstaller, aam/flr/dtlt, mcsdk, rmi en apache aui
Tweede scenario:
Als u de certificaten wilt vervangen die worden gebruikt voor back-ups/replicatie/registratie (gsan/mc-basis-CA):
Volg de onderstaande stappen om de Avamar CA te vervangen door uw eigen CA.
Achtergrond sessiebeveiliging
Uit de productbeveiligingsgids
Functies
voor sessiebeveiligingDe Avamar-sessiebeveiligingsfuncties worden geleverd door de Avamar-installatie, de Avamar Virtual Edition (AVE)-configuratie, upgradeworkflowpakketten en de zelfstandige sessiebeveiligingsconfiguratieworkflow.
Sessiebeveiligingsfuncties omvatten beveiligingsverbeteringen voor communicatie tussen Avamar-systeemprocessen.
Het Avamar-systeem beveiligt alle communicatie tussen Avamar-systeemprocessen met behulp van sessietickets. Een geldig sessieticket is vereist voordat een Avamar-systeemproces een overdracht van een ander Avamar-systeemproces accepteert.
De sessietickets hebben de volgende algemene kenmerken:
- Het sessieticket is versleuteld en ondertekend om te beschermen tegen wijziging.
- Het sessieticket is korte tijd geldig.
- Elk sessieticket bevat een unieke handtekening en wordt toegewezen aan slechts één Avamar-systeemproces.
- De integriteit van een sessieticket wordt beschermd door encryptie.
- Elk Avamar-systeemknooppunt verifieert afzonderlijk de handtekening van het sessieticket.
- Een sessie kan indien nodig worden verlengd tot na de levensduur van het sessieticket.
Avamar serverauthenticatie
Na het installeren van de sessiebeveiligingsfuncties fungeert het Avamar-systeem als een privé-certificeringsinstantie en genereert het een uniek servercertificaat voor het Avamar-systeem.
Het Avamar-systeem installeert de openbare sleutel voor het servercertificaat op elke Avamar-client die is geregistreerd bij de Avamar-server. Avamar-clients gebruiken de openbare sleutel om transmissies van het Avamar-systeem te verifiëren.
Voor clients die momenteel zijn geregistreerd, worden de openbare sleutel voor het servercertificaat en andere vereiste certificaatbestanden binnen een uur na de installatie naar de client doorgegeven.
Het Avamar-systeem deelt ook automatisch het Avamar-servercertificaat met de Avamar-storageknooppunten. Door het certificaat te delen, kunnen het hulpprogrammaknooppunt en de storageknooppunten hetzelfde certificaat leveren voor authenticatie.
Hieronder vindt u een aanvullend KB-artikel met meer informatie over sessiebeveiliging:
000222278 | Avamar: Sessiebeveiliging
Controleer de beveiligingsinstellingen van
de sessieMeld u als hoofdgebruiker aan bij de Avamar server met ssh
Voer als hoofdgebruiker de volgende opdracht uit:
Als een van de instellingen 'true' retourneert, is sessiebeveiliging ingeschakeld.
Als u meer hulp nodig hebt bij het wijzigen van de beveiligingsinstellingen voor sessies, raadpleegt u de volgende KB-artikelen:
000222234 | Avamar: Sessiebeveiligingsinstellingen beheren vanuit CLI
000222279 | Avamar: Sessiebeveiligingsinstellingen beheren met Avinstaller Installation Package (AVP)
Notities
Verschil tussen het vervangen van webservercertificaten en gsan/mcs-basiscertificaten:
- Webservercertificaten vervangen met behulp van de aui.
- Webservercertificaten kunnen gebruikmaken van openbare of interne geketende ca.
- Webservercertificaten installeren een leaf/server/end-entity-certificaat met de bijbehorende persoonlijke sleutel.
- Het servercertificaat van het webservercertificaat heeft een basisbeperking van CA: Onwaar, wat aangeeft dat het certificaat NIET kan worden gebruikt om verdere downstream CA-certificaten uit te geven (zoals een andere tussenliggende CA):
gsan/mcs-basiscertificaten die zijn vervangen met behulp van importcert.sh script op het Avamar Utility-knooppunt.
- gsan/mcs-basiscertificaten zijn CA-certificaten, GEEN leaf/server/end-entity.
- gsan/mcs root certs hebben een basisbeperking van CA: Waar
Wat is een basisbeperking?
Basic Constraints is een X.509 versie 3-certificaatuitbreiding en wordt gebruikt om het type certificaathouder of -onderwerp aan te geven.
Als het certificaat een basis-CA of tussenliggende CA is, wordt verwacht dat het een Basic Constraints Extension heeft met de CA boolean ingesteld op True. Hierdoor kan het certificaat andere certificaten en CRL's (Certificate Revocation List) ondertekenen, de handtekening van uitgegeven certificaten valideren en optioneel beperkingen of restricties instellen voor de configuratie van uitgegeven certificaten.
Als het certificaat een leaf/server/end-entity-certificaat is, wordt verwacht dat het een Basic Constraints Extension heeft met de CA-boolean ingesteld op False. Een eindentiteitscertificaat kan geen verdere downstreamcertificaten ondertekenen.
Bij het vervangen van de GSAN/MC-basis-CA-certificaten worden ze vervangen door een andere certificeringsinstantie (CA). Waarschijnlijk intern, aangezien geen enkele openbaar vertrouwde CA ooit de private sleutel van de CA aan een eindklant zou overhandigen.
Stappen voor het vervangen van Avamar CA door een door de gebruiker geleverde CA
1. Bereid uw root-/tussenliggende certificaatbestanden voor:
- Privésleutel: De persoonlijke sleutel die overeenkomt met het meest downstream gelegen CA-certificaat dat de mogelijkheid heeft om certificaten uit te geven.
- "server"-certificaat: Het meest downstream gelegen CA-certificaat in de PEM-indeling (Privacy-Enhanced Mail) dat de mogelijkheid heeft om certificaten uit te geven.
- ketencertificaat: één bestand met aaneengeschakelde PEM-geformatteerde tussenliggende/root-CA-certificaten om een vertrouwensketen op te bouwen.
2. Voer het importcert.sh script uit als hoofdgebruiker om de nieuwe door de gebruiker geleverde CA te installeren:
- Stop MCS en de back-upplanner.
- Controleer of sleutel en certificaat overeenkomen.
- Controleer of het chain-bestand een vertrouwensketen voor het certificaat opbouwt.
- Importeer de bestanden in de Avamar keystore.
- Vernieuw de GSAN-certificaten.
- Start MCS
- Poging om alle klanten opnieuw te registreren.
- Opnieuw synchroniseren met Data Domain.
- Hervat de back-upplanningsservice.
Voorbeeld
Drie bestanden voorbereid
int_key.pem - interne tussenliggende CA-privésleutel in PKCS1-indeling
int_cert.crt - intern tussenliggend CA-certificaat
root_ca.crt - intern basis-CA-certificaat
int_key.pem
int_cert.crt
root_ca.crt
Installatie
Na installatie
Zodra het installatiescript is voltooid, kan het nodig zijn om sommige agentgebaseerde clients en VMware-proxy's handmatig opnieuw te registreren.
Als u de inhoud van de Avamar Keystore wilt controleren om het resultaat van het uitvoeren van het script te zien, voert u de volgende opdracht uit:
Mcrsaroot moet een CA-alias zijn met een CA: Waar
Mcrsatls moet een volledig geketend eindentiteitscertificaat zijn dat wordt uitgegeven aan de Avamar-server door een door de gebruiker geleverde downstream-CA
Als u wilt valideren dat de certificaten zijn vervangen, kunt u verbinding maken met het Avamar hulpprogrammaknooppunt als een veilige client met behulp van openssl om de certificaatinhoud voor de gsan/mcs/registratiepoorten op te halen.
Avamar maakt verschillende poorten beschikbaar met certificaten die erop zijn geïnstalleerd.
De webservers op Avamar maken de volgende poorten beschikbaar met SSL-certificaten:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Wanneer sessiebeveiliging is ingeschakeld, laden de volgende poorten SSL-certificaten:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Wanneer sessiebeveiliging is ingeschakeld, laden back-upclients SSL-certificaten op de volgende poorten:
Port Service 30002 Avagent/MCS secure listening port (backup client)
In dit 'how-to' KB-artikel wordt de juiste context beschreven voor het vervangen van de certificeringsinstantie op de beveiligde poorten die worden gebruikt wanneer sessiebeveiliging is ingeschakeld voor clientregistratie, back-ups en replicatie.
Scenario 's
Eerste scenario:
Als u de Avamar-webservercertificaten wilt vervangen, raadpleegt u het volgende KB-artikel:
000198691 | Avamar 19.2+ : Installatie van ondertekende webservercertificaten voor avinstaller, aam/flr/dtlt, mcsdk, rmi en apache aui
Tweede scenario:
Als u de certificaten wilt vervangen die worden gebruikt voor back-ups/replicatie/registratie (gsan/mc-basis-CA):
Volg de onderstaande stappen om de Avamar CA te vervangen door uw eigen CA.
Achtergrond sessiebeveiliging
Uit de productbeveiligingsgids
Functies
voor sessiebeveiligingDe Avamar-sessiebeveiligingsfuncties worden geleverd door de Avamar-installatie, de Avamar Virtual Edition (AVE)-configuratie, upgradeworkflowpakketten en de zelfstandige sessiebeveiligingsconfiguratieworkflow.
Sessiebeveiligingsfuncties omvatten beveiligingsverbeteringen voor communicatie tussen Avamar-systeemprocessen.
Het Avamar-systeem beveiligt alle communicatie tussen Avamar-systeemprocessen met behulp van sessietickets. Een geldig sessieticket is vereist voordat een Avamar-systeemproces een overdracht van een ander Avamar-systeemproces accepteert.
De sessietickets hebben de volgende algemene kenmerken:
- Het sessieticket is versleuteld en ondertekend om te beschermen tegen wijziging.
- Het sessieticket is korte tijd geldig.
- Elk sessieticket bevat een unieke handtekening en wordt toegewezen aan slechts één Avamar-systeemproces.
- De integriteit van een sessieticket wordt beschermd door encryptie.
- Elk Avamar-systeemknooppunt verifieert afzonderlijk de handtekening van het sessieticket.
- Een sessie kan indien nodig worden verlengd tot na de levensduur van het sessieticket.
Avamar serverauthenticatie
Na het installeren van de sessiebeveiligingsfuncties fungeert het Avamar-systeem als een privé-certificeringsinstantie en genereert het een uniek servercertificaat voor het Avamar-systeem.
Het Avamar-systeem installeert de openbare sleutel voor het servercertificaat op elke Avamar-client die is geregistreerd bij de Avamar-server. Avamar-clients gebruiken de openbare sleutel om transmissies van het Avamar-systeem te verifiëren.
Voor clients die momenteel zijn geregistreerd, worden de openbare sleutel voor het servercertificaat en andere vereiste certificaatbestanden binnen een uur na de installatie naar de client doorgegeven.
Het Avamar-systeem deelt ook automatisch het Avamar-servercertificaat met de Avamar-storageknooppunten. Door het certificaat te delen, kunnen het hulpprogrammaknooppunt en de storageknooppunten hetzelfde certificaat leveren voor authenticatie.
Hieronder vindt u een aanvullend KB-artikel met meer informatie over sessiebeveiliging:
000222278 | Avamar: Sessiebeveiliging
Controleer de beveiligingsinstellingen van
de sessieMeld u als hoofdgebruiker aan bij de Avamar server met ssh
Voer als hoofdgebruiker de volgende opdracht uit:
enable_secure_config.sh --showconfig
Als een van de instellingen 'true' retourneert, is sessiebeveiliging ingeschakeld.
Als u meer hulp nodig hebt bij het wijzigen van de beveiligingsinstellingen voor sessies, raadpleegt u de volgende KB-artikelen:
000222234 | Avamar: Sessiebeveiligingsinstellingen beheren vanuit CLI
000222279 | Avamar: Sessiebeveiligingsinstellingen beheren met Avinstaller Installation Package (AVP)
Notities
Verschil tussen het vervangen van webservercertificaten en gsan/mcs-basiscertificaten:
- Webservercertificaten vervangen met behulp van de aui.
- Webservercertificaten kunnen gebruikmaken van openbare of interne geketende ca.
- Webservercertificaten installeren een leaf/server/end-entity-certificaat met de bijbehorende persoonlijke sleutel.
- Het servercertificaat van het webservercertificaat heeft een basisbeperking van CA: Onwaar, wat aangeeft dat het certificaat NIET kan worden gebruikt om verdere downstream CA-certificaten uit te geven (zoals een andere tussenliggende CA):
gsan/mcs-basiscertificaten die zijn vervangen met behulp van importcert.sh script op het Avamar Utility-knooppunt.
- gsan/mcs-basiscertificaten zijn CA-certificaten, GEEN leaf/server/end-entity.
- gsan/mcs root certs hebben een basisbeperking van CA: Waar
Wat is een basisbeperking?
Basic Constraints is een X.509 versie 3-certificaatuitbreiding en wordt gebruikt om het type certificaathouder of -onderwerp aan te geven.
Als het certificaat een basis-CA of tussenliggende CA is, wordt verwacht dat het een Basic Constraints Extension heeft met de CA boolean ingesteld op True. Hierdoor kan het certificaat andere certificaten en CRL's (Certificate Revocation List) ondertekenen, de handtekening van uitgegeven certificaten valideren en optioneel beperkingen of restricties instellen voor de configuratie van uitgegeven certificaten.
Als het certificaat een leaf/server/end-entity-certificaat is, wordt verwacht dat het een Basic Constraints Extension heeft met de CA-boolean ingesteld op False. Een eindentiteitscertificaat kan geen verdere downstreamcertificaten ondertekenen.
Bij het vervangen van de GSAN/MC-basis-CA-certificaten worden ze vervangen door een andere certificeringsinstantie (CA). Waarschijnlijk intern, aangezien geen enkele openbaar vertrouwde CA ooit de private sleutel van de CA aan een eindklant zou overhandigen.
Stappen voor het vervangen van Avamar CA door een door de gebruiker geleverde CA
1. Bereid uw root-/tussenliggende certificaatbestanden voor:
- Privésleutel: De persoonlijke sleutel die overeenkomt met het meest downstream gelegen CA-certificaat dat de mogelijkheid heeft om certificaten uit te geven.
- "server"-certificaat: Het meest downstream gelegen CA-certificaat in de PEM-indeling (Privacy-Enhanced Mail) dat de mogelijkheid heeft om certificaten uit te geven.
- ketencertificaat: één bestand met aaneengeschakelde PEM-geformatteerde tussenliggende/root-CA-certificaten om een vertrouwensketen op te bouwen.
2. Voer het importcert.sh script uit als hoofdgebruiker om de nieuwe door de gebruiker geleverde CA te installeren:
importcert.sh <private key> <cert> <chain>Het script zal:
- Stop MCS en de back-upplanner.
- Controleer of sleutel en certificaat overeenkomen.
- Controleer of het chain-bestand een vertrouwensketen voor het certificaat opbouwt.
- Importeer de bestanden in de Avamar keystore.
- Vernieuw de GSAN-certificaten.
- Start MCS
- Poging om alle klanten opnieuw te registreren.
- Opnieuw synchroniseren met Data Domain.
- Hervat de back-upplanningsservice.
Voorbeeld
Drie bestanden voorbereid
int_key.pem - interne tussenliggende CA-privésleutel in PKCS1-indeling
int_cert.crt - intern tussenliggend CA-certificaat
root_ca.crt - intern basis-CA-certificaat
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Installatie
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Na installatie
Zodra het installatiescript is voltooid, kan het nodig zijn om sommige agentgebaseerde clients en VMware-proxy's handmatig opnieuw te registreren.
Als u de inhoud van de Avamar Keystore wilt controleren om het resultaat van het uitvoeren van het script te zien, voert u de volgende opdracht uit:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Aliassen:
Mcrsaroot moet een CA-alias zijn met een CA: Waar
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Voorbeeld:
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls moet een volledig geketend eindentiteitscertificaat zijn dat wordt uitgegeven aan de Avamar-server door een door de gebruiker geleverde downstream-CA
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Voorbeeld:
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Als u wilt valideren dat de certificaten zijn vervangen, kunt u verbinding maken met het Avamar hulpprogrammaknooppunt als een veilige client met behulp van openssl om de certificaatinhoud voor de gsan/mcs/registratiepoorten op te halen.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Probleemoplossing
Als u de volgende fout tegenkomt tijdens het script, is dit waarschijnlijk te wijten aan een poging om een certificaat van de eindentiteit te installeren in plaats van een CA die geschikt is voor certificaatuitgifte.
5. Refresh tls cert Refresh tls ERROR
Als poort 30002 op het Avamar Utility-knooppunt nog steeds de oude certificaten weergeeft nadat het script is voltooid, start u Avagent opnieuw.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.