Avamar. Установка или замена Avamar Certificate Authority (CA) на предоставленный пользователем источник сертификатов (CA)
Summary: Как заменить по умолчанию самозаверяющий центр сертификации (ЦС) службы консоли управления (MCS) собственным источником сертификатов для gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Фон
Avamar открывает доступ к нескольким портам с установленными на них сертификатами.
Веб-серверы в Avamar предоставляют следующие порты с сертификатами ssl:
Если включена безопасность сеанса, следующие порты загружают сертификаты ssl:
Если включена безопасность сессий, клиенты резервного копирования загружают SSL-сертификаты на следующих портах:
В этой статье базы знаний с практическими инструкциями описывается надлежащий контекст замены источника сертификатов на защищенных портах, используемых при включенной безопасности сеанса для регистрации клиентов, резервного копирования и репликации.
Сценарии
Первый сценарий:
Если вы хотите заменить сертификаты веб-сервера Avamar, см. следующую статью базы знаний:
000198691 | Avamar 19.2+ : Установка подписанных сертификатов веб-сервера для avinstaller, aam/flr/dtlt, mcsdk, rmi и apache aui
Второй сценарий:
Если вы хотите заменить сертификаты, которые используются для резервного копирования/репликации/регистрации (корневой центр сертификации gsan/mc),
выполните следующие действия, чтобы заменить центр сертификации Avamar собственным источником сертификатов.
Фоновая информация о безопасности сеанса
Из руководства по
безопасности продуктаФункции безопасности сеанса
Функции безопасности сеансов Avamar предоставляются установкой Avamar, конфигурацией Avamar Virtual Edition (AVE), пакетами рабочих процессов обновления и автономной конфигурацией безопасности сеанса.
Функции безопасности сеансов включают улучшения безопасности обмена данными между системными процессами Avamar.
Система Avamar защищает все соединения между системными процессами Avamar с помощью билетов сеанса. Прежде чем системный процесс Avamar примет передачу от другого системного процесса Avamar, требуется действительный билет сеанса.
Билеты сеанса имеют следующие общие характеристики:
- Билет сеанса зашифрован и подписан для защиты от изменения.
- Билет на сеанс действителен в течение короткого времени.
- Каждый билет сеанса содержит уникальную подпись и назначается только одному системному процессу Avamar.
- Целостность билета сеанса защищена шифрованием.
- Каждый системный узел Avamar отдельно проверяет подпись тикета сессии.
- При необходимости сеанс может быть продлен после истечения срока действия билета на сессию.
Проверка подлинности
Avamar ServerПосле установки функций безопасности сессии система Avamar выступает в роли частного центра сертификации и создает уникальный сертификат сервера для системы Avamar.
Система Avamar устанавливает открытый ключ для сертификата сервера на каждом клиенте Avamar, зарегистрированном на сервере Avamar. Клиенты Avamar Client используют открытый ключ для проверки подлинности передач из системы Avamar.
Для клиентов, которые зарегистрированы в настоящее время, открытый ключ сертификата сервера и другие необходимые файлы сертификата передаются клиенту в течение часа после установки.Система Avamar также автоматически предоставляет общий доступ к сертификату Avamar Server узлам хранения Avamar. Совместное использование сертификата позволяет служебному узлу и узлам хранения предоставлять один и тот же сертификат для аутентификации.
Ниже приведена дополнительная статья базы знаний с дополнительными сведениями о безопасности сеансов 000222278
| Avamar. Безопасность
сеансовПроверьте параметры безопасности сеанса
Войдите в Avamar Server с помощью ssh
. В качестве пользователя root выполните следующую команду:
Если какой-либо из параметров возвращает значение «true», безопасность сеанса включена.
Если вам нужна дополнительная помощь по изменению параметров безопасности сеанса, см. следующие статьи базы знаний:
000222234 | Avamar. Управление параметрами безопасности сеанса из интерфейса командной строки
000222279 | Avamar. Управление параметрами безопасности сеанса с помощью установочного пакета Avinstaller (AVP)
Примечания
Разница между заменой сертификатов веб-сервера и корневых сертификатов gsan/mcs:
- Сертификаты веб-сервера заменены с помощью aui.
- Сертификаты веб-сервера могут использовать публичный или внутренний цепочечный ca.
- Сертификаты веб-сервера устанавливают leaf-сертификат/сервер/конечную сущность с соответствующим закрытым ключом.
- Сертификат сервера сертификата веб-сервера имеет базовое ограничение CA: False, указывающее, что сертификат НЕ может быть использован для выдачи дальнейших нисходящих сертификатов CA (например, другого промежуточного CA)
— корневые сертификаты gsan/mcs заменяются с помощью сценария importcert.sh на Avamar Utility Node.
- Корневые сертификаты gsan/mcs являются сертификатами CA, а НЕ leaf/server/end-entity.
- Корневые сертификаты gsan/mcs имеют базовое ограничение CA: Истина Что
такое базовое ограничение?
Основные ограничения — это расширение сертификата X.509 версии 3, которое используется для идентификации типа владельца сертификата или субъекта.
Если сертификат является корневым CA или промежуточным CA, он должен иметь расширение Basic Constraints с логическим значением CA, установленным в True. Это позволит сертификату подписывать другие сертификаты и списки отзыва сертификатов (CRL), проверять подпись выданных сертификатов и при необходимости устанавливать ограничения на конфигурацию выданных сертификатов.
Если сертификат является конечным сертификатом, сертификатом или сертификатом конечной сущности, он должен иметь расширение Basic Constraints с логическим значением CA, установленным в значение False. Сертификат конечного субъекта не может подписывать последующие сертификаты.
При замене корневых сертификатов источника сертификатов GSAN/MC они заменяются другим источником сертификатов (ЦС). Скорее всего, внутренний, так как ни один публично доверенный CA никогда не передаст свой закрытый ключ CA конечному клиенту.
Инструкции по замене источника сертификатов Avamar источником сертификатов
, предоставленным пользователем1. Подготовьте файлы корневого/промежуточного сертификата:
- Приватный ключ: Закрытый ключ, соответствующий ближайшему нисходящему сертификату источника сертификатов, который может выдавать сертификаты.
- Сертификат сервера: Самый дальний нисходящий сертификат CA в формате Privacy-Enhanced Mail (PEM), который может выдавать сертификаты.
- Сертификат цепочки: один файл, содержащий объединенные промежуточные/корневые сертификаты CA в формате PEM для создания цепочки доверия.
2. Запустите сценарий importcert.sh от имени пользователя root, чтобы установить новый предоставленный пользователем источник сертификатов:
- Остановит MCS и планировщик резервного копирования.
- Проверьте совпадение ключа и сертификата.
- Убедитесь, что файл цепочки создает цепочку доверия для сертификата.
- Импортируйте файлы в хранилище ключей Avamar.
- Обновите сертификаты GSAN.
- Start MCS -
Попытка перерегистрации всех клиентов.
- Повторная синхронизация с data domain.
- Возобновите работу службы планировщика резервного копирования.
Пример
Подготовлены
три файла int_key.pem - внутренний промежуточный закрытый ключ CA в формате
PKCS1 int_cert.crt - внутренний промежуточный сертификат
CA root_ca.crt - внутренний корневой сертификат
CA int_key.pem
int_cert.crt
root_ca.crt
Установка
Действия после установки
После завершения сценария установки может потребоваться вручную повторно зарегистрировать некоторые клиенты на основе агентов и прокси-серверы VMware.
Если вы хотите проверить содержимое хранилища ключей Avamar и увидеть результат выполнения сценария, выполните следующую команду:
Mcrsaroot должен быть псевдонимом только CA с базовым ограничением CA: Истинный
Mcrsatls должен представлять собой полный связанный сертификат конечного объекта, выдаваемый серверу Avamar нижестоящим источником сертификатов, предоставленным пользователем
Если вы хотите проверить, что сертификаты были заменены, вы можете подключиться к Avamar Utility Node в качестве безопасного клиента с помощью openssl для получения содержимого сертификатов портов gsan/mcs/registration.
Avamar открывает доступ к нескольким портам с установленными на них сертификатами.
Веб-серверы в Avamar предоставляют следующие порты с сертификатами ssl:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Если включена безопасность сеанса, следующие порты загружают сертификаты ssl:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Если включена безопасность сессий, клиенты резервного копирования загружают SSL-сертификаты на следующих портах:
Port Service 30002 Avagent/MCS secure listening port (backup client)
В этой статье базы знаний с практическими инструкциями описывается надлежащий контекст замены источника сертификатов на защищенных портах, используемых при включенной безопасности сеанса для регистрации клиентов, резервного копирования и репликации.
Сценарии
Первый сценарий:
Если вы хотите заменить сертификаты веб-сервера Avamar, см. следующую статью базы знаний:
000198691 | Avamar 19.2+ : Установка подписанных сертификатов веб-сервера для avinstaller, aam/flr/dtlt, mcsdk, rmi и apache aui
Второй сценарий:
Если вы хотите заменить сертификаты, которые используются для резервного копирования/репликации/регистрации (корневой центр сертификации gsan/mc),
выполните следующие действия, чтобы заменить центр сертификации Avamar собственным источником сертификатов.
Фоновая информация о безопасности сеанса
Из руководства по
безопасности продуктаФункции безопасности сеанса
Функции безопасности сеансов Avamar предоставляются установкой Avamar, конфигурацией Avamar Virtual Edition (AVE), пакетами рабочих процессов обновления и автономной конфигурацией безопасности сеанса.
Функции безопасности сеансов включают улучшения безопасности обмена данными между системными процессами Avamar.
Система Avamar защищает все соединения между системными процессами Avamar с помощью билетов сеанса. Прежде чем системный процесс Avamar примет передачу от другого системного процесса Avamar, требуется действительный билет сеанса.
Билеты сеанса имеют следующие общие характеристики:
- Билет сеанса зашифрован и подписан для защиты от изменения.
- Билет на сеанс действителен в течение короткого времени.
- Каждый билет сеанса содержит уникальную подпись и назначается только одному системному процессу Avamar.
- Целостность билета сеанса защищена шифрованием.
- Каждый системный узел Avamar отдельно проверяет подпись тикета сессии.
- При необходимости сеанс может быть продлен после истечения срока действия билета на сессию.
Проверка подлинности
Avamar ServerПосле установки функций безопасности сессии система Avamar выступает в роли частного центра сертификации и создает уникальный сертификат сервера для системы Avamar.
Система Avamar устанавливает открытый ключ для сертификата сервера на каждом клиенте Avamar, зарегистрированном на сервере Avamar. Клиенты Avamar Client используют открытый ключ для проверки подлинности передач из системы Avamar.
Для клиентов, которые зарегистрированы в настоящее время, открытый ключ сертификата сервера и другие необходимые файлы сертификата передаются клиенту в течение часа после установки.Система Avamar также автоматически предоставляет общий доступ к сертификату Avamar Server узлам хранения Avamar. Совместное использование сертификата позволяет служебному узлу и узлам хранения предоставлять один и тот же сертификат для аутентификации.
Ниже приведена дополнительная статья базы знаний с дополнительными сведениями о безопасности сеансов 000222278
| Avamar. Безопасность
сеансовПроверьте параметры безопасности сеанса
Войдите в Avamar Server с помощью ssh
. В качестве пользователя root выполните следующую команду:
enable_secure_config.sh --showconfig
Если какой-либо из параметров возвращает значение «true», безопасность сеанса включена.
Если вам нужна дополнительная помощь по изменению параметров безопасности сеанса, см. следующие статьи базы знаний:
000222234 | Avamar. Управление параметрами безопасности сеанса из интерфейса командной строки
000222279 | Avamar. Управление параметрами безопасности сеанса с помощью установочного пакета Avinstaller (AVP)
Примечания
Разница между заменой сертификатов веб-сервера и корневых сертификатов gsan/mcs:
- Сертификаты веб-сервера заменены с помощью aui.
- Сертификаты веб-сервера могут использовать публичный или внутренний цепочечный ca.
- Сертификаты веб-сервера устанавливают leaf-сертификат/сервер/конечную сущность с соответствующим закрытым ключом.
- Сертификат сервера сертификата веб-сервера имеет базовое ограничение CA: False, указывающее, что сертификат НЕ может быть использован для выдачи дальнейших нисходящих сертификатов CA (например, другого промежуточного CA)
— корневые сертификаты gsan/mcs заменяются с помощью сценария importcert.sh на Avamar Utility Node.
- Корневые сертификаты gsan/mcs являются сертификатами CA, а НЕ leaf/server/end-entity.
- Корневые сертификаты gsan/mcs имеют базовое ограничение CA: Истина Что
такое базовое ограничение?
Основные ограничения — это расширение сертификата X.509 версии 3, которое используется для идентификации типа владельца сертификата или субъекта.
Если сертификат является корневым CA или промежуточным CA, он должен иметь расширение Basic Constraints с логическим значением CA, установленным в True. Это позволит сертификату подписывать другие сертификаты и списки отзыва сертификатов (CRL), проверять подпись выданных сертификатов и при необходимости устанавливать ограничения на конфигурацию выданных сертификатов.
Если сертификат является конечным сертификатом, сертификатом или сертификатом конечной сущности, он должен иметь расширение Basic Constraints с логическим значением CA, установленным в значение False. Сертификат конечного субъекта не может подписывать последующие сертификаты.
При замене корневых сертификатов источника сертификатов GSAN/MC они заменяются другим источником сертификатов (ЦС). Скорее всего, внутренний, так как ни один публично доверенный CA никогда не передаст свой закрытый ключ CA конечному клиенту.
Инструкции по замене источника сертификатов Avamar источником сертификатов
, предоставленным пользователем1. Подготовьте файлы корневого/промежуточного сертификата:
- Приватный ключ: Закрытый ключ, соответствующий ближайшему нисходящему сертификату источника сертификатов, который может выдавать сертификаты.
- Сертификат сервера: Самый дальний нисходящий сертификат CA в формате Privacy-Enhanced Mail (PEM), который может выдавать сертификаты.
- Сертификат цепочки: один файл, содержащий объединенные промежуточные/корневые сертификаты CA в формате PEM для создания цепочки доверия.
2. Запустите сценарий importcert.sh от имени пользователя root, чтобы установить новый предоставленный пользователем источник сертификатов:
importcert.sh <private key> <cert> <chain>Сценарий:
- Остановит MCS и планировщик резервного копирования.
- Проверьте совпадение ключа и сертификата.
- Убедитесь, что файл цепочки создает цепочку доверия для сертификата.
- Импортируйте файлы в хранилище ключей Avamar.
- Обновите сертификаты GSAN.
- Start MCS -
Попытка перерегистрации всех клиентов.
- Повторная синхронизация с data domain.
- Возобновите работу службы планировщика резервного копирования.
Пример
Подготовлены
три файла int_key.pem - внутренний промежуточный закрытый ключ CA в формате
PKCS1 int_cert.crt - внутренний промежуточный сертификат
CA root_ca.crt - внутренний корневой сертификат
CA int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Установка
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Действия после установки
После завершения сценария установки может потребоваться вручную повторно зарегистрировать некоторые клиенты на основе агентов и прокси-серверы VMware.
Если вы хотите проверить содержимое хранилища ключей Avamar и увидеть результат выполнения сценария, выполните следующую команду:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Псевдонимы:
Mcrsaroot должен быть псевдонимом только CA с базовым ограничением CA: Истинный
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Пример:
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls должен представлять собой полный связанный сертификат конечного объекта, выдаваемый серверу Avamar нижестоящим источником сертификатов, предоставленным пользователем
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Пример:
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Если вы хотите проверить, что сертификаты были заменены, вы можете подключиться к Avamar Utility Node в качестве безопасного клиента с помощью openssl для получения содержимого сертификатов портов gsan/mcs/registration.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Устранение неполадок
Если во время выполнения сценария возникает следующая ошибка, скорее всего, это связано с попыткой установить сертификат конечного объекта вместо центра сертификации, который может выдавать сертификаты.
5. Refresh tls cert Refresh tls ERROR
Если после успешного завершения сценария на порте 30002 на узле Avamar Utility Node по-прежнему отображаются старые сертификаты, перезапустите Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.