Avamar: Installera eller byt ut Avamar Certificate Authority (CA) mot en certifikatutfärdare som tillhandahålls av användaren
Summary: Så här ersätter du de självsignerade standardrotcertifikatutfärdarna (CA) för Management Console Service (MCS) med en egen certifikatutfärdare för gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Bakgrund
Avamar exponerar flera portar med certifikat installerade.
Webbservrarna på Avamar exponerar följande portar med ssl-certifikat:
När sessionssäkerhet är aktiverat läser följande portar in SSL-certifikat:
När sessionssäkerhet är aktiverat läser säkerhetskopieringsklienter in SSL-certifikat på följande portar:
Syftet med den här KB-artikeln är att beskriva i vilken kontext certifikatutfärdaren ska ersättas på de säkra portar som används när sessionssäkerhet är aktiverat för klientregistrering, säkerhetskopiering och replikering.
Scenarier
Första scenariot:
Om du vill ersätta Avamar-webbservercertifikaten läser du följande KB-artikel:
000198691 | Avamar 19.2+ : Installera signerade webbservercertifikat för avinstaller, aam/flr/dtlt, mcsdk, rmi och apache aui
Andra scenariot:
Om du vill ersätta certifikaten som används för säkerhetskopiering/replikering/registrering (gsan/mc root ca):
Följ stegen nedan för att ersätta Avamar CA med din egen CA.
Bakgrund
för sessionssäkerhetI produktsäkerhetsmanualen
Sessionssäkerhetsfunktioner
Avamar-sessionssäkerhetsfunktioner tillhandahålls av Avamar-installationen, Avamar Virtual Edition-konfigurationen (AVE), uppgraderingsarbetsflödespaket och ett fristående arbetsflöde för sessionssäkerhetskonfiguration.
Sessionssäkerhetsfunktionerna omfattar säkerhetsförbättringar för kommunikation mellan Avamar-systemprocesser.
Avamar-systemet skyddar all kommunikation mellan Avamar-systemprocesser med hjälp av sessionsbiljetter. En giltig sessionsbiljett krävs innan en Avamar-systemprocess accepterar en överföring från en annan Avamar-systemprocess.
Sessionsbiljetterna har följande allmänna egenskaper:
- Sessionsbiljetten är krypterad och signerad för att skydda mot ändringar.
- Sessionsbiljetten är giltig under en kort tid.
- Varje sessionsärende innehåller en unik signatur och är endast tilldelad till en Avamar-systemprocess.
- Integriteten för en sessionsbiljett skyddas av kryptering.
- Varje Avamar-systemnod verifierar signaturen för sessionsbiljetten separat.
- En session kan vid behov förlängas längre än sessionsbiljettens livslängd.
Avamar-serverautentisering
Efter installation av sessionssäkerhetsfunktionerna fungerar Avamar-systemet som en privat certifikatutfärdare och genererar ett unikt servercertifikat för Avamar-systemet.
Avamar-systemet installerar den offentliga nyckeln för servercertifikatet på varje Avamar-klient som är registrerad på Avamar-servern. Avamar-klienter använder den offentliga nyckeln för att autentisera överföringar från Avamar-systemet.
För klienter som för närvarande är registrerade sprids den offentliga nyckeln för servercertifikatet och andra nödvändiga certifikatfiler till klienten inom en timme efter installationen.
Avamar-systemet delar också automatiskt Avamar-servercertifikatet med Avamar-lagringsnoderna. Genom att dela certifikatet kan verktygsnoden och lagringsnoderna tillhandahålla samma certifikat för autentisering.
Det finns en kompletterande KB-artikel med mer information om sessionssäkerhet nedan:
000222278 | Avamar: Sessionssäkerhet
Kontrollera säkerhetsinställningarna
för sessionenLogga in på Avamar-servern med ssh
Som rotanvändare kör du följande kommando:
Om någon av inställningarna returnerar true är sessionssäkerhet aktiverat.
Om du behöver ytterligare hjälp med att ändra säkerhetsinställningar för sessioner kan du läsa följande KB-artiklar:
000222234 | Avamar: Hantera sessionssäkerhetsinställningar från CLI
000222279 | Avamar: Hantera säkerhetsinställningar för sessioner med Avinstaller Installation Package (AVP)
Anteckningar
Skillnaden mellan att ersätta webbservercertifikat jämfört med gsan/mcs-rotcertifikat:
- Webbservercertifikat ersatta med aui.
- Webbservercertifikat kan använda offentliga eller interna länkade certifikatutfärdare.
- Webbservercertifikat installerar ett löv-/server-/slutenhetscertifikat med motsvarande privata nyckel.
- Webbservercertifikatets servercertifikat har en grundläggande begränsning för CA: False, vilket anger att certifikatet INTE kan användas för att utfärda ytterligare nedströms CA-certifikat (t.ex. en annan mellanliggande CA)
– gsan/mcs-rotcertifikat som ersätts med importcert.sh skript på Avamar Utility Node.
- gsan/mcs-rotcertifikat är CA-certifikat, INTE löv/server/slutenhet.
- gsan/mcs-rotcertifikat har en grundläggande begränsning för CA: Sant
Vad är en grundläggande begränsning?
Grundläggande begränsningar är ett X.509 version 3-certifikattillägg och används för att identifiera typen av certifikatinnehavare eller ämne.
Om certifikatet är en rotcertifikatutfärdare eller mellanliggande certifikatutfärdare förväntas det ha ett tillägg för grundläggande begränsningar med det booleska certifikatutfärdarvärdet inställt på Sant. Detta gör det möjligt för certifikatet att signera andra certifikat och listor över återkallade certifikat (CRL), validera signaturen för utfärdade certifikat och eventuellt ange begränsningar eller begränsningar för konfigurationen av utfärdade certifikat.
Om certifikatet är ett löv-/server-/slutenhetscertifikat förväntas det ha ett tillägg för grundläggande begränsningar med det booleska CA-värdet inställt på Falskt. Ett slutentitetscertifikat kan inte signera ytterligare underordnade certifikat.
När du byter ut GSAN/MC-rotcertifikatutfärdarcertifikaten ersätts de med en annan certifikatutfärdare (CA). Troligen internt, eftersom ingen offentligt betrodd certifikatutfärdare någonsin skulle lämna över sin privata certifikatutfärdarnyckel till en slutkund.
Steg för att byta ut Avamar CA mot certifikatutfärdare
som tillhandahålls av användaren1. Förbered dina rotcertifikatfiler/mellanliggande certifikatfiler:
- Privat nyckel: Den privata nyckel som motsvarar det underordnade CA-certifikatet längst bort som har möjlighet att utfärda certifikat.
- "server"-certifikat: Det längst nedströms CA-certifikatet i PEM-format (Privacy-Enhanced Mail) som har möjlighet att utfärda certifikat.
- kedjecertifikat: en fil som innehåller sammanfogade PEM-formaterade mellanliggande/rotcertifikatutfärdarcertifikat för att skapa en förtroendekedja.
2. Kör importcert.sh-skriptet som rotanvändare för att installera den nya certifikatutfärdaren som tillhandahålls av användaren:
- Stoppa MCS och schemaläggaren för säkerhetskopiering.
- Kontrollera att nyckel och certifikat matchar.
- Kontrollera att kedjefilen skapar en förtroendekedja för certifikatet.
- Importera filerna till Avamar-nyckelbehållaren.
- Uppdatera GSAN-certifikaten.
- Starta MCS
- Försök att omregistrera alla klienter.
- Synkronisera om med data domain.
- Återuppta schemaläggningstjänsten för säkerhetskopiering.
Exempel
Tre förberedda filer
int_key.pem – intern mellanliggande CA privat nyckel i PKCS1-format
int_cert.crt – internt mellanliggande CA-certifikat
root_ca.crt – internt rotcertifikatutfärdarcertifikat
int_key.pem
int_cert.crt
root_ca.crt
Installation
Efter installation
När installationsskriptet är klart kan det vara nödvändigt att omregistrera vissa agentbaserade klienter manuellt och VMware-proxyservrar.
Om du vill kontrollera innehållet i Avamar Keystore för att se resultatet av körningen av skriptet kör du följande kommando:
Mcrsaroot ska vara ett alias endast för certifikatutfärdare med en certifikatutfärdare med grundläggande begränsningar: Sann
Mcrsatls ska vara ett fullständigt länkat slutenhetscertifikat som utfärdas till Avamar-servern av användaren som tillhandahålls nedströms CA
Om du vill validera att certifikaten har ersatts kan du ansluta till Avamar-verktygsnoden som en säker klient med openssl för att hämta certifikatinnehållet för gsan/mcs/registration-portarna.
Avamar exponerar flera portar med certifikat installerade.
Webbservrarna på Avamar exponerar följande portar med ssl-certifikat:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
När sessionssäkerhet är aktiverat läser följande portar in SSL-certifikat:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
När sessionssäkerhet är aktiverat läser säkerhetskopieringsklienter in SSL-certifikat på följande portar:
Port Service 30002 Avagent/MCS secure listening port (backup client)
Syftet med den här KB-artikeln är att beskriva i vilken kontext certifikatutfärdaren ska ersättas på de säkra portar som används när sessionssäkerhet är aktiverat för klientregistrering, säkerhetskopiering och replikering.
Scenarier
Första scenariot:
Om du vill ersätta Avamar-webbservercertifikaten läser du följande KB-artikel:
000198691 | Avamar 19.2+ : Installera signerade webbservercertifikat för avinstaller, aam/flr/dtlt, mcsdk, rmi och apache aui
Andra scenariot:
Om du vill ersätta certifikaten som används för säkerhetskopiering/replikering/registrering (gsan/mc root ca):
Följ stegen nedan för att ersätta Avamar CA med din egen CA.
Bakgrund
för sessionssäkerhetI produktsäkerhetsmanualen
Sessionssäkerhetsfunktioner
Avamar-sessionssäkerhetsfunktioner tillhandahålls av Avamar-installationen, Avamar Virtual Edition-konfigurationen (AVE), uppgraderingsarbetsflödespaket och ett fristående arbetsflöde för sessionssäkerhetskonfiguration.
Sessionssäkerhetsfunktionerna omfattar säkerhetsförbättringar för kommunikation mellan Avamar-systemprocesser.
Avamar-systemet skyddar all kommunikation mellan Avamar-systemprocesser med hjälp av sessionsbiljetter. En giltig sessionsbiljett krävs innan en Avamar-systemprocess accepterar en överföring från en annan Avamar-systemprocess.
Sessionsbiljetterna har följande allmänna egenskaper:
- Sessionsbiljetten är krypterad och signerad för att skydda mot ändringar.
- Sessionsbiljetten är giltig under en kort tid.
- Varje sessionsärende innehåller en unik signatur och är endast tilldelad till en Avamar-systemprocess.
- Integriteten för en sessionsbiljett skyddas av kryptering.
- Varje Avamar-systemnod verifierar signaturen för sessionsbiljetten separat.
- En session kan vid behov förlängas längre än sessionsbiljettens livslängd.
Avamar-serverautentisering
Efter installation av sessionssäkerhetsfunktionerna fungerar Avamar-systemet som en privat certifikatutfärdare och genererar ett unikt servercertifikat för Avamar-systemet.
Avamar-systemet installerar den offentliga nyckeln för servercertifikatet på varje Avamar-klient som är registrerad på Avamar-servern. Avamar-klienter använder den offentliga nyckeln för att autentisera överföringar från Avamar-systemet.
För klienter som för närvarande är registrerade sprids den offentliga nyckeln för servercertifikatet och andra nödvändiga certifikatfiler till klienten inom en timme efter installationen.
Avamar-systemet delar också automatiskt Avamar-servercertifikatet med Avamar-lagringsnoderna. Genom att dela certifikatet kan verktygsnoden och lagringsnoderna tillhandahålla samma certifikat för autentisering.
Det finns en kompletterande KB-artikel med mer information om sessionssäkerhet nedan:
000222278 | Avamar: Sessionssäkerhet
Kontrollera säkerhetsinställningarna
för sessionenLogga in på Avamar-servern med ssh
Som rotanvändare kör du följande kommando:
enable_secure_config.sh --showconfig
Om någon av inställningarna returnerar true är sessionssäkerhet aktiverat.
Om du behöver ytterligare hjälp med att ändra säkerhetsinställningar för sessioner kan du läsa följande KB-artiklar:
000222234 | Avamar: Hantera sessionssäkerhetsinställningar från CLI
000222279 | Avamar: Hantera säkerhetsinställningar för sessioner med Avinstaller Installation Package (AVP)
Anteckningar
Skillnaden mellan att ersätta webbservercertifikat jämfört med gsan/mcs-rotcertifikat:
- Webbservercertifikat ersatta med aui.
- Webbservercertifikat kan använda offentliga eller interna länkade certifikatutfärdare.
- Webbservercertifikat installerar ett löv-/server-/slutenhetscertifikat med motsvarande privata nyckel.
- Webbservercertifikatets servercertifikat har en grundläggande begränsning för CA: False, vilket anger att certifikatet INTE kan användas för att utfärda ytterligare nedströms CA-certifikat (t.ex. en annan mellanliggande CA)
– gsan/mcs-rotcertifikat som ersätts med importcert.sh skript på Avamar Utility Node.
- gsan/mcs-rotcertifikat är CA-certifikat, INTE löv/server/slutenhet.
- gsan/mcs-rotcertifikat har en grundläggande begränsning för CA: Sant
Vad är en grundläggande begränsning?
Grundläggande begränsningar är ett X.509 version 3-certifikattillägg och används för att identifiera typen av certifikatinnehavare eller ämne.
Om certifikatet är en rotcertifikatutfärdare eller mellanliggande certifikatutfärdare förväntas det ha ett tillägg för grundläggande begränsningar med det booleska certifikatutfärdarvärdet inställt på Sant. Detta gör det möjligt för certifikatet att signera andra certifikat och listor över återkallade certifikat (CRL), validera signaturen för utfärdade certifikat och eventuellt ange begränsningar eller begränsningar för konfigurationen av utfärdade certifikat.
Om certifikatet är ett löv-/server-/slutenhetscertifikat förväntas det ha ett tillägg för grundläggande begränsningar med det booleska CA-värdet inställt på Falskt. Ett slutentitetscertifikat kan inte signera ytterligare underordnade certifikat.
När du byter ut GSAN/MC-rotcertifikatutfärdarcertifikaten ersätts de med en annan certifikatutfärdare (CA). Troligen internt, eftersom ingen offentligt betrodd certifikatutfärdare någonsin skulle lämna över sin privata certifikatutfärdarnyckel till en slutkund.
Steg för att byta ut Avamar CA mot certifikatutfärdare
som tillhandahålls av användaren1. Förbered dina rotcertifikatfiler/mellanliggande certifikatfiler:
- Privat nyckel: Den privata nyckel som motsvarar det underordnade CA-certifikatet längst bort som har möjlighet att utfärda certifikat.
- "server"-certifikat: Det längst nedströms CA-certifikatet i PEM-format (Privacy-Enhanced Mail) som har möjlighet att utfärda certifikat.
- kedjecertifikat: en fil som innehåller sammanfogade PEM-formaterade mellanliggande/rotcertifikatutfärdarcertifikat för att skapa en förtroendekedja.
2. Kör importcert.sh-skriptet som rotanvändare för att installera den nya certifikatutfärdaren som tillhandahålls av användaren:
importcert.sh <private key> <cert> <chain>Skriptet kommer att:
- Stoppa MCS och schemaläggaren för säkerhetskopiering.
- Kontrollera att nyckel och certifikat matchar.
- Kontrollera att kedjefilen skapar en förtroendekedja för certifikatet.
- Importera filerna till Avamar-nyckelbehållaren.
- Uppdatera GSAN-certifikaten.
- Starta MCS
- Försök att omregistrera alla klienter.
- Synkronisera om med data domain.
- Återuppta schemaläggningstjänsten för säkerhetskopiering.
Exempel
Tre förberedda filer
int_key.pem – intern mellanliggande CA privat nyckel i PKCS1-format
int_cert.crt – internt mellanliggande CA-certifikat
root_ca.crt – internt rotcertifikatutfärdarcertifikat
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Installation
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Efter installation
När installationsskriptet är klart kan det vara nödvändigt att omregistrera vissa agentbaserade klienter manuellt och VMware-proxyservrar.
Om du vill kontrollera innehållet i Avamar Keystore för att se resultatet av körningen av skriptet kör du följande kommando:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Alias:
Mcrsaroot ska vara ett alias endast för certifikatutfärdare med en certifikatutfärdare med grundläggande begränsningar: Sann
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"exempel
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls ska vara ett fullständigt länkat slutenhetscertifikat som utfärdas till Avamar-servern av användaren som tillhandahålls nedströms CA
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"exempel
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Om du vill validera att certifikaten har ersatts kan du ansluta till Avamar-verktygsnoden som en säker klient med openssl för att hämta certifikatinnehållet för gsan/mcs/registration-portarna.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Felsökning
Om du stöter på följande fel under skriptet beror det troligen på att du försöker installera ett slutentitetscertifikat i stället för en certifikatutfärdare som kan utfärda certifikat.
5. Refresh tls cert Refresh tls ERROR
Om port 30002 på Avamar-verktygsnoden fortfarande visar de gamla certifikaten efter att skriptet har slutförts startar du om Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.