Avamar: Avamar Sertifika Yetkilisi'ni (CA) Kullanıcı Tarafından Sağlanan Sertifika Yetkilisi (CA) ile Yükleme veya Değiştirme
Summary: Varsayılan kendinden imzalı Management Console Service (MCS) kök Sertifika Yetkililerini (CA), gsan/mcs/avagent için kendi CA'sı ile değiştirme.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Arka plan
Avamar, üzerlerinde yüklü sertifikalar bulunan birkaç bağlantı noktası sunar.
Avamar'daki web sunucuları, aşağıdaki SSL sertifikalarına sahip bağlantı noktalarını gösterir:
Oturum güvenliği etkinleştirildiğinde, aşağıdaki bağlantı noktaları SSL sertifikalarını yükler:
Oturum güvenliği etkinleştirildiğinde, yedekleme istemcileri SSL sertifikalarını aşağıdaki bağlantı noktalarına yükler:
Nasıl Yapılır kb makalesinde yer alan bilgiler, istemci kaydı, yedeklemeler ve çoğaltma için oturum güvenliği etkinleştirildiğinde kullanılan güvenli bağlantı noktalarındaki Sertifika Yetkilisinin değiştirileceği uygun bağlamı açıklamayı amaçlamaktadır.
Senaryo
İlk Senaryo:
Avamar web sunucusu sertifikalarını değiştirmek istiyorsanız aşağıdaki KB makalesine bakın:
000198691 | Avamar 19.2+ : Avinstaller, aam/flr/dtlt, mcsdk, rmi ve Apache AUI
için imzalı web sunucusu sertifikalarını yüklemeİkinci Senaryo:
Yedeklemeler/çoğaltma/kayıt (gsan/mc kök CA) için kullanılan sertifikaları değiştirmek istiyorsanız:
Avamar CA'yı kendi CA'nızla değiştirmek için aşağıdaki adımları izleyin.
Oturum Güvenliği Arka Planı
Ürün Güvenlik Kılavuzundan
Oturum güvenliği özellikleri
Avamar oturum güvenliği özellikleri; Avamar kurulumu, Avamar Virtual Edition (AVE) yapılandırması, yükseltme iş akışı paketleri ve bağımsız oturum güvenliği yapılandırması iş akışı tarafından sağlanır.
Oturum güvenliği özellikleri, Avamar sistem işlemleri arasındaki iletişimler için güvenlik geliştirmeleri içerir.
Avamar sistemi, oturum anahtarlarını kullanarak Avamar sistem işlemleri arasındaki tüm iletişimleri güvenli hale getirir. Bir Avamar sistem işlemi başka bir Avamar sistem işleminden iletimi kabul etmeden önce geçerli bir oturum bileti gereklidir.
Oturum biletleri aşağıdaki genel özelliklere sahiptir:
- Oturum bileti, değişikliğe karşı koruma sağlamak için şifrelenir ve imzalanır.
- Oturum bileti kısa bir süre için geçerlidir.
- Her oturum anahtarı benzersiz bir imza içerir ve yalnızca bir Avamar sistem işlemine atanır.
- Bir oturum anahtarının bütünlüğü şifreleme ile korunur.
- Her Avamar sistem düğümü, oturum bileti imzasını ayrı ayrı doğrular.
- Gerektiğinde bir oturum, oturum biletinin ömrünün ötesine uzatılabilir.
Avamar sunucusu kimlik doğrulaması
Oturum güvenliği özelliklerini yükledikten sonra Avamar sistemi, özel bir sertifika yetkilisi olarak hareket eder ve Avamar sistemi için benzersiz bir sunucu sertifikası oluşturur.
Avamar sistemi, Avamar sunucusuna kayıtlı her Avamar istemcisinde sunucu sertifikasının genel anahtarını kurar. Avamar istemcileri, Avamar sisteminden yapılan aktarımları doğrulamak için genel anahtarı kullanır.
Şu anda kayıtlı olan istemciler için sunucu sertifikasına ve gerekli diğer sertifika dosyalarına ilişkin ortak anahtar, kurulumdan sonraki bir saat içinde istemciye yayılır.Avamar sistemi ayrıca Avamar sunucu sertifikasını Avamar depolama düğümleriyle otomatik olarak paylaşır. Sertifikayı paylaşmak, yardımcı yazılım düğümünün ve depolama düğümlerinin kimlik doğrulama için aynı sertifikayı sağlamasına olanak tanır.
Aşağıda Oturum Güvenliği hakkında daha fazla bilgi içeren ek bir KB makalesi bulunmaktadır:
000222278 | Avamar: Oturum Güvenliği
Oturum Güvenlik Ayarlarını Kontrol Edin
SSH
kullanarak Avamar sunucusunda oturum açma Kök kullanıcı olarak aşağıdaki komutu çalıştırın:
Ayarlardan herhangi biri true değerini döndürürse oturum güvenliği etkinleştirilir.
Oturum güvenlik ayarlarını değiştirme konusunda daha fazla yardıma ihtiyacınız varsa aşağıdaki KB makalelerine bakın:
000222234 | Avamar: Oturum Güvenliği Ayarlarını CLI'dan
Yönetme000222279 | Avamar: Avinstaller Installation Package (AVP)
ile Oturum Güvenliği Ayarlarını YönetmeNotlar
Web sunucusu sertifikalarını değiştirme ile gsan/mcs kök sertifikalarını değiştirme arasındaki fark:
- Web sunucusu sertifikaları aui kullanılarak değiştirilir.
- Web sunucusu sertifikaları, genel veya iç zincirleme ca'yı kullanabilir.
- Web sunucusu sertifikaları, karşılık gelen özel anahtarıyla bir yaprak/sunucu/son varlık sertifikası yükler.
- Web sunucusu sertifikasının sunucu sertifikasının temel CA kısıtlaması vardır: False, sertifikanın daha fazla aşağı akış CA sertifikası (başka bir ara CA gibi)
vermek için KULLANILAMAYACAĞINI gösterir - Avamar Utility Node'da importcert.sh komut dosyası kullanılarak değiştirilen gsan/mcs kök sertifikaları.
- gsan/mcs kök sertifikaları, yaprak/sunucu/son varlık DEĞİL, CA sertifikalarıdır.
- gsan/mcs kök sertifikalarının temel bir CA kısıtlaması vardır: Doğru
: Temel kısıtlama nedir?
Temel Kısıtlamalar bir X.509 Sürüm 3 sertifika uzantısıdır ve sertifika sahibinin veya konunun türünü tanımlamak için kullanılır.
Sertifika bir kök CA veya Ara CA ise, CA boole değeri True olarak ayarlanmış bir Temel Kısıtlamalar Uzantısına sahip olması beklenir. Bu, sertifikanın diğer sertifikaları ve Sertifika İptal Listesi'ni (CRL'ler) imzalamasına, verilen sertifikaların imzasını doğrulamasına ve isteğe bağlı olarak verilen sertifikaların yapılandırmasına kısıtlamalar veya kısıtlamalar koymasına olanak tanır.
Sertifika bir yaprak/sunucu/son varlık sertifikasıysa, CA boole değeri False olarak ayarlanmış bir Temel Kısıtlamalar Uzantısına sahip olması beklenir. Bir son varlık sertifikası daha fazla aşağı akış sertifikası imzalayamaz.
GSAN/MC kök CA sertifikaları değiştirilirken, bunlar başka bir Sertifika Yetkilisi (CA) ile değiştirilir. Genel olarak güvenilen hiçbir CA, CA özel anahtarını bir son müşteriye teslim etmeyeceğinden, büyük olasılıkla şirket içidir.
Avamar CA'yı Kullanıcı Tarafından Sağlanan CA
ile Değiştirme Adımları1. Kök/ara sertifika dosyalarınızı hazırlayın:
- Özel Anahtar: Sertifika verme kabiliyetine sahip en uzaktaki aşağı akış CA sertifikasına karşılık gelen özel anahtar.
- 'Server' Cert: Sertifika verme özelliğine sahip, gizliliği artırılmış posta (PEM) biçimindeki en aşağı akış CA sertifikası.
- zincir sertifikası: bir güven zinciri oluşturmak için birleştirilmiş PEM biçimli ara/kök CA sertifikalarını içeren bir dosya.
2. Kullanıcı tarafından sağlanan yeni CA'yı kurmak için importcert.sh komut dosyasını kök kullanıcı olarak çalıştırın:
MCS'yi ve yedekleme zamanlayıcısını durdurun.
- Anahtar ve sertifika eşleşmesini doğrulayın.
- Zincir dosyasının sertifika için bir güven zinciri oluşturduğunu doğrulayın.
- Dosyaları Avamar anahtar deposuna aktarın.
- GSAN sertifikalarını yenileyin.
- MCS'yi
başlat- Tüm istemcileri yeniden kaydetmeyi deneyin.
- Data domain ile yeniden senkronize edin.
- Yedekleme zamanlayıcı hizmetini devam ettirin.
Örnek
Üç dosya hazırlandı
int_key.pem - PKCS1 biçiminde
dahili ara CA özel anahtarı int_cert.crt - dahili ara CA sertifikası
root_ca.crt - dahili kök CA sertifikası
int_key.pem
int_cert.crt
root_ca.crt
Yükleme
Yükleme
SonrasıKurulum komut dosyası tamamlandıktan sonra, bazı aracı tabanlı istemcilerin ve VMware proxy'lerinin manuel olarak yeniden kaydedilmesi gerekebilir.
Komut dosyasını çalıştırmanın sonucunu görmek için Avamar Anahtar deposunun içeriğini kontrol etmek istiyorsanız aşağıdaki komutu çalıştırın:
Mcrsaroot, temel kısıtlama CA'sına sahip yalnızca bir CA diğer adı olmalıdır: Doğru
Mcrsatls, kullanıcı tarafından sağlanan aşağı akış CA'sı tarafından Avamar sunucusuna verilen tam zincirli bir son varlık sertifikasıdır
Sertifikaların değiştirildiğini doğrulamak istiyorsanız gsan/mcs/kayıt bağlantı noktalarının sertifika içeriklerini almak için openssl kullanarak Avamar Utility Node'a güvenli istemci olarak bağlanabilirsiniz.
Avamar, üzerlerinde yüklü sertifikalar bulunan birkaç bağlantı noktası sunar.
Avamar'daki web sunucuları, aşağıdaki SSL sertifikalarına sahip bağlantı noktalarını gösterir:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Oturum güvenliği etkinleştirildiğinde, aşağıdaki bağlantı noktaları SSL sertifikalarını yükler:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Oturum güvenliği etkinleştirildiğinde, yedekleme istemcileri SSL sertifikalarını aşağıdaki bağlantı noktalarına yükler:
Port Service 30002 Avagent/MCS secure listening port (backup client)
Nasıl Yapılır kb makalesinde yer alan bilgiler, istemci kaydı, yedeklemeler ve çoğaltma için oturum güvenliği etkinleştirildiğinde kullanılan güvenli bağlantı noktalarındaki Sertifika Yetkilisinin değiştirileceği uygun bağlamı açıklamayı amaçlamaktadır.
Senaryo
İlk Senaryo:
Avamar web sunucusu sertifikalarını değiştirmek istiyorsanız aşağıdaki KB makalesine bakın:
000198691 | Avamar 19.2+ : Avinstaller, aam/flr/dtlt, mcsdk, rmi ve Apache AUI
için imzalı web sunucusu sertifikalarını yüklemeİkinci Senaryo:
Yedeklemeler/çoğaltma/kayıt (gsan/mc kök CA) için kullanılan sertifikaları değiştirmek istiyorsanız:
Avamar CA'yı kendi CA'nızla değiştirmek için aşağıdaki adımları izleyin.
Oturum Güvenliği Arka Planı
Ürün Güvenlik Kılavuzundan
Oturum güvenliği özellikleri
Avamar oturum güvenliği özellikleri; Avamar kurulumu, Avamar Virtual Edition (AVE) yapılandırması, yükseltme iş akışı paketleri ve bağımsız oturum güvenliği yapılandırması iş akışı tarafından sağlanır.
Oturum güvenliği özellikleri, Avamar sistem işlemleri arasındaki iletişimler için güvenlik geliştirmeleri içerir.
Avamar sistemi, oturum anahtarlarını kullanarak Avamar sistem işlemleri arasındaki tüm iletişimleri güvenli hale getirir. Bir Avamar sistem işlemi başka bir Avamar sistem işleminden iletimi kabul etmeden önce geçerli bir oturum bileti gereklidir.
Oturum biletleri aşağıdaki genel özelliklere sahiptir:
- Oturum bileti, değişikliğe karşı koruma sağlamak için şifrelenir ve imzalanır.
- Oturum bileti kısa bir süre için geçerlidir.
- Her oturum anahtarı benzersiz bir imza içerir ve yalnızca bir Avamar sistem işlemine atanır.
- Bir oturum anahtarının bütünlüğü şifreleme ile korunur.
- Her Avamar sistem düğümü, oturum bileti imzasını ayrı ayrı doğrular.
- Gerektiğinde bir oturum, oturum biletinin ömrünün ötesine uzatılabilir.
Avamar sunucusu kimlik doğrulaması
Oturum güvenliği özelliklerini yükledikten sonra Avamar sistemi, özel bir sertifika yetkilisi olarak hareket eder ve Avamar sistemi için benzersiz bir sunucu sertifikası oluşturur.
Avamar sistemi, Avamar sunucusuna kayıtlı her Avamar istemcisinde sunucu sertifikasının genel anahtarını kurar. Avamar istemcileri, Avamar sisteminden yapılan aktarımları doğrulamak için genel anahtarı kullanır.
Şu anda kayıtlı olan istemciler için sunucu sertifikasına ve gerekli diğer sertifika dosyalarına ilişkin ortak anahtar, kurulumdan sonraki bir saat içinde istemciye yayılır.Avamar sistemi ayrıca Avamar sunucu sertifikasını Avamar depolama düğümleriyle otomatik olarak paylaşır. Sertifikayı paylaşmak, yardımcı yazılım düğümünün ve depolama düğümlerinin kimlik doğrulama için aynı sertifikayı sağlamasına olanak tanır.
Aşağıda Oturum Güvenliği hakkında daha fazla bilgi içeren ek bir KB makalesi bulunmaktadır:
000222278 | Avamar: Oturum Güvenliği
Oturum Güvenlik Ayarlarını Kontrol Edin
SSH
kullanarak Avamar sunucusunda oturum açma Kök kullanıcı olarak aşağıdaki komutu çalıştırın:
enable_secure_config.sh --showconfig
Ayarlardan herhangi biri true değerini döndürürse oturum güvenliği etkinleştirilir.
Oturum güvenlik ayarlarını değiştirme konusunda daha fazla yardıma ihtiyacınız varsa aşağıdaki KB makalelerine bakın:
000222234 | Avamar: Oturum Güvenliği Ayarlarını CLI'dan
Yönetme000222279 | Avamar: Avinstaller Installation Package (AVP)
ile Oturum Güvenliği Ayarlarını YönetmeNotlar
Web sunucusu sertifikalarını değiştirme ile gsan/mcs kök sertifikalarını değiştirme arasındaki fark:
- Web sunucusu sertifikaları aui kullanılarak değiştirilir.
- Web sunucusu sertifikaları, genel veya iç zincirleme ca'yı kullanabilir.
- Web sunucusu sertifikaları, karşılık gelen özel anahtarıyla bir yaprak/sunucu/son varlık sertifikası yükler.
- Web sunucusu sertifikasının sunucu sertifikasının temel CA kısıtlaması vardır: False, sertifikanın daha fazla aşağı akış CA sertifikası (başka bir ara CA gibi)
vermek için KULLANILAMAYACAĞINI gösterir - Avamar Utility Node'da importcert.sh komut dosyası kullanılarak değiştirilen gsan/mcs kök sertifikaları.
- gsan/mcs kök sertifikaları, yaprak/sunucu/son varlık DEĞİL, CA sertifikalarıdır.
- gsan/mcs kök sertifikalarının temel bir CA kısıtlaması vardır: Doğru
: Temel kısıtlama nedir?
Temel Kısıtlamalar bir X.509 Sürüm 3 sertifika uzantısıdır ve sertifika sahibinin veya konunun türünü tanımlamak için kullanılır.
Sertifika bir kök CA veya Ara CA ise, CA boole değeri True olarak ayarlanmış bir Temel Kısıtlamalar Uzantısına sahip olması beklenir. Bu, sertifikanın diğer sertifikaları ve Sertifika İptal Listesi'ni (CRL'ler) imzalamasına, verilen sertifikaların imzasını doğrulamasına ve isteğe bağlı olarak verilen sertifikaların yapılandırmasına kısıtlamalar veya kısıtlamalar koymasına olanak tanır.
Sertifika bir yaprak/sunucu/son varlık sertifikasıysa, CA boole değeri False olarak ayarlanmış bir Temel Kısıtlamalar Uzantısına sahip olması beklenir. Bir son varlık sertifikası daha fazla aşağı akış sertifikası imzalayamaz.
GSAN/MC kök CA sertifikaları değiştirilirken, bunlar başka bir Sertifika Yetkilisi (CA) ile değiştirilir. Genel olarak güvenilen hiçbir CA, CA özel anahtarını bir son müşteriye teslim etmeyeceğinden, büyük olasılıkla şirket içidir.
Avamar CA'yı Kullanıcı Tarafından Sağlanan CA
ile Değiştirme Adımları1. Kök/ara sertifika dosyalarınızı hazırlayın:
- Özel Anahtar: Sertifika verme kabiliyetine sahip en uzaktaki aşağı akış CA sertifikasına karşılık gelen özel anahtar.
- 'Server' Cert: Sertifika verme özelliğine sahip, gizliliği artırılmış posta (PEM) biçimindeki en aşağı akış CA sertifikası.
- zincir sertifikası: bir güven zinciri oluşturmak için birleştirilmiş PEM biçimli ara/kök CA sertifikalarını içeren bir dosya.
2. Kullanıcı tarafından sağlanan yeni CA'yı kurmak için importcert.sh komut dosyasını kök kullanıcı olarak çalıştırın:
importcert.sh <private key> <cert> <chain>Komut dosyası şu şekildedir:
MCS'yi ve yedekleme zamanlayıcısını durdurun.
- Anahtar ve sertifika eşleşmesini doğrulayın.
- Zincir dosyasının sertifika için bir güven zinciri oluşturduğunu doğrulayın.
- Dosyaları Avamar anahtar deposuna aktarın.
- GSAN sertifikalarını yenileyin.
- MCS'yi
başlat- Tüm istemcileri yeniden kaydetmeyi deneyin.
- Data domain ile yeniden senkronize edin.
- Yedekleme zamanlayıcı hizmetini devam ettirin.
Örnek
Üç dosya hazırlandı
int_key.pem - PKCS1 biçiminde
dahili ara CA özel anahtarı int_cert.crt - dahili ara CA sertifikası
root_ca.crt - dahili kök CA sertifikası
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Yükleme
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Yükleme
SonrasıKurulum komut dosyası tamamlandıktan sonra, bazı aracı tabanlı istemcilerin ve VMware proxy'lerinin manuel olarak yeniden kaydedilmesi gerekebilir.
Komut dosyasını çalıştırmanın sonucunu görmek için Avamar Anahtar deposunun içeriğini kontrol etmek istiyorsanız aşağıdaki komutu çalıştırın:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Takma:
Mcrsaroot, temel kısıtlama CA'sına sahip yalnızca bir CA diğer adı olmalıdır: Doğru
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"örnek
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls, kullanıcı tarafından sağlanan aşağı akış CA'sı tarafından Avamar sunucusuna verilen tam zincirli bir son varlık sertifikasıdır
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"örnek
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Sertifikaların değiştirildiğini doğrulamak istiyorsanız gsan/mcs/kayıt bağlantı noktalarının sertifika içeriklerini almak için openssl kullanarak Avamar Utility Node'a güvenli istemci olarak bağlanabilirsiniz.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Sorun giderme
Komut dosyası sırasında aşağıdaki hatayla karşılaşırsanız bunun nedeni muhtemelen sertifika verme özelliğine sahip bir CA yerine bir son varlık sertifikası yüklemeye çalışmalarınızdır.
5. Refresh tls cert Refresh tls ERROR
Komut dosyası başarıyla tamamlandıktan sonra Avamar Utility Node'daki 30002 numaralı bağlantı noktası hâlâ eski sertifikaları gösteriyorsa Avagent'ı yeniden başlatın.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.