Avamar: Instalacja lub wymiana instytucji certyfikującej Avamar na instytucję certyfikującą (CA) dostarczoną przez użytkownika
Summary: Jak zastąpić domyślne główne instytucje certyfikujące (CA) usługi konsoli zarządzającej z podpisem własnym (MCS) własnym urzędem certyfikacji dla gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Tło
Avamar uwidacznia kilka portów z zainstalowanymi certyfikatami.
Serwery WWW w systemie Avamar udostępniają następujące porty z certyfikatami SSL:
Gdy zabezpieczenia sesji są włączone, następujące porty ładują certyfikaty SSL:
Po włączeniu zabezpieczeń sesji klienci tworzenia kopii zapasowych ładują certyfikaty SSL na następujących portach:
Celem tego artykułu bazy wiedzy jest opisanie właściwego kontekstu, w którym należy zastąpić urząd certyfikacji na bezpiecznych portach używanych, gdy zabezpieczenia sesji są włączone do rejestracji klientów, tworzenia kopii zapasowych i replikacji.
Scenariuszy
Scenariusz pierwszy:
Jeśli chcesz wymienić certyfikaty serwera WWW Avamar, zapoznaj się z następującym artykułem bazy wiedzy:
000198691 | Avamar 19.2+: Zainstaluj podpisane certyfikaty serwera WWW dla avinstaller, aam/flr/dtlt, mcsdk, rmi i apache aui
Scenariusz drugi:
Jeśli chcesz wymienić certyfikaty używane do tworzenia kopii zapasowych/replikacji/rejestracji (główny urząd certyfikacji gsan/mc):
wykonaj poniższe czynności, aby zastąpić urząd certyfikacji Avamar własnym urzędem certyfikacji.
Tło
zabezpieczeń sesjiZ przewodnika
po zabezpieczeniach produktuFunkcje
zabezpieczeń sesjiFunkcje zabezpieczeń sesji Avamar są zapewniane przez instalację Avamar, konfigurację Avamar Virtual Edition (AVE), pakiety przepływu pracy aktualizacji i autonomiczny przepływ pracy konfiguracji zabezpieczeń sesji.
Funkcje zabezpieczeń sesji obejmują ulepszenia zabezpieczeń komunikacji między procesami systemu Avamar.
System Avamar zabezpiecza całą komunikację między procesami systemu Avamar za pomocą biletów sesji. Zanim proces systemu Avamar zaakceptuje transmisję z innego procesu systemu Avamar, wymagane jest prawidłowe zgłoszenie sesji.
Bilety sesji mają następujące ogólne cechy:
- Bilet sesji jest zaszyfrowany i podpisany w celu ochrony przed modyfikacją.
- Bilet na sesję jest ważny przez krótki czas.
- Każde zgłoszenie sesji zawiera unikatowy podpis i jest przypisane tylko do jednego procesu systemu Avamar.
- Integralność biletu sesji jest chroniona przez szyfrowanie.
- Każdy węzeł systemu Avamar oddzielnie weryfikuje podpis biletu sesji.
- W razie potrzeby sesja może zostać przedłużona poza okres ważności biletu na sesję.
Uwierzytelnianie
serwera AvamarPo zainstalowaniu funkcji zabezpieczeń sesji system Avamar działa jako prywatny urząd certyfikacji i generuje unikatowy certyfikat serwera dla systemu Avamar.
System Avamar zainstaluje klucz publiczny certyfikatu serwera na każdym kliencie Avamar zarejestrowanym na serwerze Avamar. Klienty Avamar używają klucza publicznego do uwierzytelniania transmisji z systemu Avamar.
W przypadku klientów, którzy są obecnie zarejestrowani, klucz publiczny certyfikatu serwera i inne wymagane pliki certyfikatów są propagowane do klienta w ciągu godziny od instalacji.System Avamar automatycznie udostępnia również certyfikat serwera Avamar węzłom pamięci masowej Avamar. Współużytkowanie certyfikatu umożliwia węzłowi mediów i węzłom pamięci masowej dostarczenie tego samego certyfikatu do uwierzytelniania.
Poniżej znajduje się dodatkowy artykuł z bazy wiedzy zawierający więcej informacji na temat zabezpieczeń sesji:
000222278 | Avamar: Zabezpieczenia
sesjiSprawdź ustawienia
zabezpieczeń sesjiZaloguj się do serwera Avamar za pomocą ssh
Jako użytkownik główny uruchom następujące polecenie:
Jeśli którekolwiek z ustawień zwraca wartość true, zabezpieczenia sesji są włączone.
Jeśli potrzebujesz dodatkowej pomocy przy zmianie ustawień zabezpieczeń sesji, zapoznaj się z następującymi artykułami bazy wiedzy:
000222234 | Avamar: Zarządzanie ustawieniami zabezpieczeń sesji z poziomu interfejsu wiersza poleceń
000222279 | Avamar: Zarządzanie ustawieniami zabezpieczeń sesji za pomocą pakietu instalacyjnego Avinstaller (AVP)
Notatki
Różnica między wymianą certyfikatów serwera WWW a certyfikatami głównymi gsan/mcs:
- Certyfikaty serwera WWW zastąpione przy użyciu aui.
- Certyfikaty serwera WWW mogą używać publicznego lub wewnętrznego łańcucha ca.
- Certyfikaty serwera WWW instalują certyfikat liścia/serwera/jednostki końcowej z odpowiednim kluczem prywatnym.
- Certyfikat serwera certyfikatu serwera WWW ma podstawowe ograniczenie CA: False, co oznacza, że certyfikatu NIE można używać do wystawiania dalszych certyfikatów podrzędnych urzędu certyfikacji (takich jak inny pośredni urząd certyfikacji)
— certyfikaty główne gsan/mcs zastąpione przy użyciu skryptu importcert.sh w węźle Avamar Utility Node.
- Certyfikaty główne gsan/mcs są certyfikatami CA, A NIE leaf/server/end-entity.
- Certyfikaty główne gsan/mcs mają podstawowe ograniczenie CA: Prawda Co
to jest podstawowe ograniczenie?
Podstawowe ograniczenia to rozszerzenie certyfikatu X.509 w wersji 3, które służy do identyfikacji typu posiadacza certyfikatu lub podmiotu.
Jeśli certyfikat jest głównym urzędem certyfikacji lub pośrednim urzędem certyfikacji, oczekuje się, że będzie miał rozszerzenie podstawowych ograniczeń z wartością logiczną urzędu certyfikacji ustawioną na wartość True. Umożliwiłoby to certyfikatowi podpisywanie innych certyfikatów i listy odwołania certyfikatów (CRL), weryfikowanie podpisu wystawionych certyfikatów i opcjonalne ustawianie ograniczeń lub ograniczeń konfiguracji wystawionych certyfikatów.
Jeśli certyfikat jest certyfikatem liścia/serwera/jednostki końcowej, oczekuje się, że będzie miał rozszerzenie podstawowych ograniczeń z wartością logiczną urzędu certyfikacji ustawioną na wartość False. Certyfikat jednostki końcowej nie może podpisywać dalszych certyfikatów podrzędnych.
Podczas wymiany certyfikatów głównego urzędu certyfikacji GSAN/MC są one zastępowane innym instytucją certyfikującą (CA). Prawdopodobnie wewnętrzne, ponieważ żaden publicznie zaufany urząd certyfikacji nigdy nie przekaże swojego klucza prywatnego urzędu certyfikacji klientowi końcowemu.
Etapy wymiany urzędu certyfikacji Avamar na urząd certyfikacji
dostarczony przez użytkownika1. Przygotuj pliki certyfikatów głównych/pośrednich:
- Klucz prywatny: Klucz prywatny odpowiadający najbardziej wysuniętemu niżej certyfikatowi urzędu certyfikacji, który ma możliwość wystawiania certyfikatów.
- Certyfikat "serwera": Najbardziej wysunięty certyfikat urzędu certyfikacji w formacie PEM (Privacy-Enhanced Mail), który ma możliwość wystawiania certyfikatów.
- chain cert: jeden plik zawierający połączone certyfikaty pośredniego/głównego urzędu certyfikacji w formacie PEM w celu zbudowania łańcucha zaufania.
2. Uruchom skrypt importcert.sh jako użytkownik root, aby zainstalować nowy urząd certyfikacji dostarczony przez użytkownika:
- Zatrzyma MCS i harmonogram tworzenia kopii zapasowych.
- Sprawdź, czy klucz i certyfikat są zgodne.
- Sprawdź, czy plik łańcucha tworzy łańcuch zaufania dla certyfikatu.
- Zaimportuj pliki do magazynu kluczy Avamar.
- Odśwież certyfikaty GSAN.
- Uruchom MCS-
Spróbuj ponownie zarejestrować wszystkich klientów.
- Ponowna synchronizacja z Data Domain.
- Wznów usługę harmonogramu tworzenia kopii zapasowych.
Przykład
Przygotowano
trzy pliki int_key.pem - wewnętrzny pośredni klucz prywatny CA w formacie
PKCS1 int_cert.crt - wewnętrzny pośredni certyfikat
CA root_ca.crt - wewnętrzny certyfikat głównego urzędu certyfikacji
int_key.pem
int_cert.CRT
root_ca.CRT
Instalacja
Po instalacji
Po zakończeniu skryptu instalacyjnego może być konieczne ręczne zarejestrowanie niektórych klientów opartych na agentach i serwerów proxy VMware.
Jeśli chcesz sprawdzić zawartość magazynu kluczy Avamar w celu wyświetlenia wyniku uruchomienia skryptu, uruchom następujące polecenie:
Mcrsaroot powinien być aliasem tylko urzędu certyfikacji z podstawowym ograniczeniem CA: Prawdziwy
Mcrsatls powinien być w pełni połączonym certyfikatem jednostki końcowej, który jest wystawiany serwerowi Avamar przez podrzędny urząd certyfikacji dostarczony przez użytkownika
Aby sprawdzić, czy certyfikaty zostały zastąpione, można połączyć się z węzłem Avamar Utility Node jako bezpieczny klient przy użyciu protokołu openssl, aby pobrać zawartość certyfikatu dla portów gsan/mcs/registration.
Avamar uwidacznia kilka portów z zainstalowanymi certyfikatami.
Serwery WWW w systemie Avamar udostępniają następujące porty z certyfikatami SSL:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Gdy zabezpieczenia sesji są włączone, następujące porty ładują certyfikaty SSL:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Po włączeniu zabezpieczeń sesji klienci tworzenia kopii zapasowych ładują certyfikaty SSL na następujących portach:
Port Service 30002 Avagent/MCS secure listening port (backup client)
Celem tego artykułu bazy wiedzy jest opisanie właściwego kontekstu, w którym należy zastąpić urząd certyfikacji na bezpiecznych portach używanych, gdy zabezpieczenia sesji są włączone do rejestracji klientów, tworzenia kopii zapasowych i replikacji.
Scenariuszy
Scenariusz pierwszy:
Jeśli chcesz wymienić certyfikaty serwera WWW Avamar, zapoznaj się z następującym artykułem bazy wiedzy:
000198691 | Avamar 19.2+: Zainstaluj podpisane certyfikaty serwera WWW dla avinstaller, aam/flr/dtlt, mcsdk, rmi i apache aui
Scenariusz drugi:
Jeśli chcesz wymienić certyfikaty używane do tworzenia kopii zapasowych/replikacji/rejestracji (główny urząd certyfikacji gsan/mc):
wykonaj poniższe czynności, aby zastąpić urząd certyfikacji Avamar własnym urzędem certyfikacji.
Tło
zabezpieczeń sesjiZ przewodnika
po zabezpieczeniach produktuFunkcje
zabezpieczeń sesjiFunkcje zabezpieczeń sesji Avamar są zapewniane przez instalację Avamar, konfigurację Avamar Virtual Edition (AVE), pakiety przepływu pracy aktualizacji i autonomiczny przepływ pracy konfiguracji zabezpieczeń sesji.
Funkcje zabezpieczeń sesji obejmują ulepszenia zabezpieczeń komunikacji między procesami systemu Avamar.
System Avamar zabezpiecza całą komunikację między procesami systemu Avamar za pomocą biletów sesji. Zanim proces systemu Avamar zaakceptuje transmisję z innego procesu systemu Avamar, wymagane jest prawidłowe zgłoszenie sesji.
Bilety sesji mają następujące ogólne cechy:
- Bilet sesji jest zaszyfrowany i podpisany w celu ochrony przed modyfikacją.
- Bilet na sesję jest ważny przez krótki czas.
- Każde zgłoszenie sesji zawiera unikatowy podpis i jest przypisane tylko do jednego procesu systemu Avamar.
- Integralność biletu sesji jest chroniona przez szyfrowanie.
- Każdy węzeł systemu Avamar oddzielnie weryfikuje podpis biletu sesji.
- W razie potrzeby sesja może zostać przedłużona poza okres ważności biletu na sesję.
Uwierzytelnianie
serwera AvamarPo zainstalowaniu funkcji zabezpieczeń sesji system Avamar działa jako prywatny urząd certyfikacji i generuje unikatowy certyfikat serwera dla systemu Avamar.
System Avamar zainstaluje klucz publiczny certyfikatu serwera na każdym kliencie Avamar zarejestrowanym na serwerze Avamar. Klienty Avamar używają klucza publicznego do uwierzytelniania transmisji z systemu Avamar.
W przypadku klientów, którzy są obecnie zarejestrowani, klucz publiczny certyfikatu serwera i inne wymagane pliki certyfikatów są propagowane do klienta w ciągu godziny od instalacji.System Avamar automatycznie udostępnia również certyfikat serwera Avamar węzłom pamięci masowej Avamar. Współużytkowanie certyfikatu umożliwia węzłowi mediów i węzłom pamięci masowej dostarczenie tego samego certyfikatu do uwierzytelniania.
Poniżej znajduje się dodatkowy artykuł z bazy wiedzy zawierający więcej informacji na temat zabezpieczeń sesji:
000222278 | Avamar: Zabezpieczenia
sesjiSprawdź ustawienia
zabezpieczeń sesjiZaloguj się do serwera Avamar za pomocą ssh
Jako użytkownik główny uruchom następujące polecenie:
enable_secure_config.sh --showconfig
Jeśli którekolwiek z ustawień zwraca wartość true, zabezpieczenia sesji są włączone.
Jeśli potrzebujesz dodatkowej pomocy przy zmianie ustawień zabezpieczeń sesji, zapoznaj się z następującymi artykułami bazy wiedzy:
000222234 | Avamar: Zarządzanie ustawieniami zabezpieczeń sesji z poziomu interfejsu wiersza poleceń
000222279 | Avamar: Zarządzanie ustawieniami zabezpieczeń sesji za pomocą pakietu instalacyjnego Avinstaller (AVP)
Notatki
Różnica między wymianą certyfikatów serwera WWW a certyfikatami głównymi gsan/mcs:
- Certyfikaty serwera WWW zastąpione przy użyciu aui.
- Certyfikaty serwera WWW mogą używać publicznego lub wewnętrznego łańcucha ca.
- Certyfikaty serwera WWW instalują certyfikat liścia/serwera/jednostki końcowej z odpowiednim kluczem prywatnym.
- Certyfikat serwera certyfikatu serwera WWW ma podstawowe ograniczenie CA: False, co oznacza, że certyfikatu NIE można używać do wystawiania dalszych certyfikatów podrzędnych urzędu certyfikacji (takich jak inny pośredni urząd certyfikacji)
— certyfikaty główne gsan/mcs zastąpione przy użyciu skryptu importcert.sh w węźle Avamar Utility Node.
- Certyfikaty główne gsan/mcs są certyfikatami CA, A NIE leaf/server/end-entity.
- Certyfikaty główne gsan/mcs mają podstawowe ograniczenie CA: Prawda Co
to jest podstawowe ograniczenie?
Podstawowe ograniczenia to rozszerzenie certyfikatu X.509 w wersji 3, które służy do identyfikacji typu posiadacza certyfikatu lub podmiotu.
Jeśli certyfikat jest głównym urzędem certyfikacji lub pośrednim urzędem certyfikacji, oczekuje się, że będzie miał rozszerzenie podstawowych ograniczeń z wartością logiczną urzędu certyfikacji ustawioną na wartość True. Umożliwiłoby to certyfikatowi podpisywanie innych certyfikatów i listy odwołania certyfikatów (CRL), weryfikowanie podpisu wystawionych certyfikatów i opcjonalne ustawianie ograniczeń lub ograniczeń konfiguracji wystawionych certyfikatów.
Jeśli certyfikat jest certyfikatem liścia/serwera/jednostki końcowej, oczekuje się, że będzie miał rozszerzenie podstawowych ograniczeń z wartością logiczną urzędu certyfikacji ustawioną na wartość False. Certyfikat jednostki końcowej nie może podpisywać dalszych certyfikatów podrzędnych.
Podczas wymiany certyfikatów głównego urzędu certyfikacji GSAN/MC są one zastępowane innym instytucją certyfikującą (CA). Prawdopodobnie wewnętrzne, ponieważ żaden publicznie zaufany urząd certyfikacji nigdy nie przekaże swojego klucza prywatnego urzędu certyfikacji klientowi końcowemu.
Etapy wymiany urzędu certyfikacji Avamar na urząd certyfikacji
dostarczony przez użytkownika1. Przygotuj pliki certyfikatów głównych/pośrednich:
- Klucz prywatny: Klucz prywatny odpowiadający najbardziej wysuniętemu niżej certyfikatowi urzędu certyfikacji, który ma możliwość wystawiania certyfikatów.
- Certyfikat "serwera": Najbardziej wysunięty certyfikat urzędu certyfikacji w formacie PEM (Privacy-Enhanced Mail), który ma możliwość wystawiania certyfikatów.
- chain cert: jeden plik zawierający połączone certyfikaty pośredniego/głównego urzędu certyfikacji w formacie PEM w celu zbudowania łańcucha zaufania.
2. Uruchom skrypt importcert.sh jako użytkownik root, aby zainstalować nowy urząd certyfikacji dostarczony przez użytkownika:
importcert.sh <private key> <cert> <chain>Skrypt:
- Zatrzyma MCS i harmonogram tworzenia kopii zapasowych.
- Sprawdź, czy klucz i certyfikat są zgodne.
- Sprawdź, czy plik łańcucha tworzy łańcuch zaufania dla certyfikatu.
- Zaimportuj pliki do magazynu kluczy Avamar.
- Odśwież certyfikaty GSAN.
- Uruchom MCS-
Spróbuj ponownie zarejestrować wszystkich klientów.
- Ponowna synchronizacja z Data Domain.
- Wznów usługę harmonogramu tworzenia kopii zapasowych.
Przykład
Przygotowano
trzy pliki int_key.pem - wewnętrzny pośredni klucz prywatny CA w formacie
PKCS1 int_cert.crt - wewnętrzny pośredni certyfikat
CA root_ca.crt - wewnętrzny certyfikat głównego urzędu certyfikacji
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.CRT
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.CRT
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Instalacja
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Po instalacji
Po zakończeniu skryptu instalacyjnego może być konieczne ręczne zarejestrowanie niektórych klientów opartych na agentach i serwerów proxy VMware.
Jeśli chcesz sprawdzić zawartość magazynu kluczy Avamar w celu wyświetlenia wyniku uruchomienia skryptu, uruchom następujące polecenie:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Aliasy:
Mcrsaroot powinien być aliasem tylko urzędu certyfikacji z podstawowym ograniczeniem CA: Prawdziwy
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Przykład:
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls powinien być w pełni połączonym certyfikatem jednostki końcowej, który jest wystawiany serwerowi Avamar przez podrzędny urząd certyfikacji dostarczony przez użytkownika
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Przykład:
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Aby sprawdzić, czy certyfikaty zostały zastąpione, można połączyć się z węzłem Avamar Utility Node jako bezpieczny klient przy użyciu protokołu openssl, aby pobrać zawartość certyfikatu dla portów gsan/mcs/registration.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Rozwiązywanie problemów
Jeśli podczas skryptu wystąpi następujący błąd, jest to prawdopodobnie spowodowane próbą zainstalowania certyfikatu jednostki końcowej zamiast urzędu certyfikacji zdolnego do wystawiania certyfikatów.
5. Refresh tls cert Refresh tls ERROR
Jeśli po pomyślnym zakończeniu skryptu port 30002 w węźle Avamar Utility Node nadal pokazuje stare certyfikaty, uruchom ponownie narzędzie Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.