Avamar: Instalar o reemplazar la autoridad de certificación (CA) de Avamar por la autoridad de certificación (CA) proporcionada por el usuario
Summary: Cómo reemplazar las autoridades de certificación (CA) raíz predeterminadas autofirmadas del servicio de consola de administración (MCS) por su propia CA para gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Fondo
Avamar expone varios puertos con certificados instalados.
Los servidores web en Avamar exponen los siguientes puertos con certificados SSL:
Cuando se habilita la seguridad de sesión, los siguientes puertos cargan certificados SSL:
Cuando la seguridad de sesión está habilitada, los clientes de respaldo cargan certificados SSL en los siguientes puertos:
Este artículo de la base de conocimientos instructivo tiene como objetivo describir el contexto adecuado en el cual reemplazar la autoridad de certificación en los puertos seguros que se utilizan cuando la seguridad de sesión está habilitada para el registro, los respaldos y la replicación del cliente.
Escenarios
Primer escenario:
Si desea reemplazar los certificados del servidor web Avamar, consulte el siguiente artículo de la base de conocimientos:
000198691 | Avamar 19.2+ : Instale certificados de servidor web firmados para avinstaller, aam/flr/dtlt, mcsdk, rmi y apache aui
Segundo escenario:
Si desea reemplazar los certificados que se utilizan para respaldos/replicación/registro (gsan/mc root ca):
Siga los pasos que se indican a continuación para reemplazar la CA de Avamar por una CA propia.
Antecedentes
de seguridad de la sesiónDe la guía
de seguridad del productoCaracterísticas
de seguridad de sesiónLas características de seguridad de sesión de Avamar se proporcionan mediante la instalación de Avamar, la configuración de Avamar Virtual Edition (AVE), los paquetes de flujo de trabajo de actualización y el flujo de trabajo de configuración de seguridad de sesión independiente.
Las funciones de seguridad de sesión incluyen mejoras de seguridad para las comunicaciones entre los procesos del sistema Avamar.
El sistema Avamar protege todas las comunicaciones entre los procesos del sistema Avamar mediante vales de sesión. Se requiere un vale de sesión válido antes de que un proceso del sistema Avamar acepte una transmisión desde otro proceso del sistema Avamar.
Los vales de sesión tienen las siguientes características generales:
- El vale de sesión está encriptado y firmado para protegerlo contra modificaciones.
- La entrada de la sesión es válida durante un breve periodo de tiempo.
- Cada vale de sesión contiene una firma única y se asigna a un solo proceso del sistema Avamar.
- La integridad de un ticket de sesión está protegida por el cifrado.
- Cada nodo del sistema Avamar verifica por separado la firma del ticket de sesión.
- Una sesión se puede extender más allá de la vida útil del ticket de sesión cuando sea necesario.
Autenticación del
servidor AvamarDespués de instalar las características de seguridad de sesión, el sistema Avamar actúa como una autoridad de certificación privada y genera un certificado de servidor único para el sistema Avamar.
El sistema Avamar instala la clave pública para el certificado del servidor en cada cliente Avamar registrado en el servidor Avamar. Avamar Client utiliza la clave pública para autenticar las transmisiones del sistema Avamar.
En el caso de los clientes que están registrados actualmente, la clave pública del certificado de servidor y otros archivos de certificado necesarios se propagan al cliente dentro de una hora después de la instalación.El sistema Avamar también comparte automáticamente el certificado de Avamar Server con los nodos de almacenamiento de Avamar. El uso compartido del certificado permite que el nodo de utilidad y los nodos de almacenamiento proporcionen el mismo certificado para la autenticación.
Hay un artículo complementario de la base de conocimientos con más información sobre la seguridad de la sesión a continuación:
000222278 | Avamar: Seguridad de sesión
Comprobar la configuración
de seguridad de la sesiónInicie sesión en el servidor Avamar mediante SSH
Como usuario raíz, ejecute el siguiente comando:
Si alguno de los valores de configuración devuelve true, la seguridad de la sesión está habilitada.
Si necesita ayuda adicional para cambiar la configuración de seguridad de la sesión, consulte los siguientes artículos de la base de conocimientos:
000222234 | Avamar: Administración de la configuración de seguridad de la sesión desde la CLI
000222279 | Avamar: Administrar la configuración de seguridad de la sesión con el paquete de instalación de Avinstaller (AVP)
Notas
Diferencia entre el reemplazo de certificados de servidor web y certificados raíz de gsan/mcs:
- Los certificados del servidor web se reemplazaron mediante la aui.
- Los certificados de servidor web pueden usar cas públicas o encadenadas internas.
- Los certificados de servidor web instalan un certificado leaf/server/end-entity con su clave privada correspondiente.
- El certificado del servidor del certificado del servidor web tiene una restricción básica de CA: False, lo que indica que el certificado NO se puede utilizar para emitir más certificados de CA descendentes (como otra CA intermedia):
los certificados raíz gsan/mcs se reemplazaron mediante importcert.sh script en Avamar Utility Node.
- Los certificados raíz gsan/mcs son certificados de CA, NO de hoja/servidor/entidad final.
- Los certificados raíz gsan/mcs tienen una restricción básica de CA: Verdadero:
¿Qué es una restricción básica?
Basic Constraints es una extensión de certificado X.509 versión 3 y se utiliza para identificar el tipo de titular o sujeto del certificado.
Si el certificado es una CA raíz o una CA intermedia, se espera que tenga una extensión de restricciones básicas con el valor booleano de la CA establecido en True. Esto permitiría que el certificado firme otros certificados y listas de revocación de certificados (CRL), valide la firma de los certificados emitidos y, opcionalmente, establezca restricciones o restricciones en la configuración de los certificados emitidos.
Si el certificado es un certificado de hoja/servidor/entidad final, se espera que tenga una extensión de restricciones básicas con el valor booleano de CA establecido en False. Un certificado de entidad final no puede firmar más certificados descendentes.
Cuando se reemplazan los certificados de CA raíz de GSAN/MC, se reemplazan por otra autoridad de certificación (CA). Es probable que sea interna, ya que ninguna CA de confianza pública entregaría su clave privada de CA a un cliente final.
Pasos para reemplazar una CA de Avamar por una CA
suministrada por el usuario1. Prepare los archivos de certificado raíz/intermedio:
- Clave privada: La clave privada correspondiente al certificado de CA descendente más lejano que tiene la capacidad de emitir certificados.
- Certificado de 'servidor': El certificado de CA descendente más lejano en formato de correo con privacidad mejorada (PEM) que tiene la capacidad de emitir certificados.
- certificado de cadena: un archivo que contiene certificados CA intermedios/raíz concatenados con formato PEM para crear una cadena de confianza.
2. Ejecute el script importcert.sh como usuario raíz para instalar la nueva CA proporcionada por el usuario:
- Detendrá MCS y el programador de respaldo.
- Verifique que la clave y el certificado coincidan.
- Verifique que el archivo de cadena cree una cadena de confianza para el certificado.
- Importe los archivos al almacén de claves de Avamar.
- Actualice los certificados GSAN.
- Inicie MCS:
intente volver a registrar todos los clientes.
- Resincronizar con Data Domain.
- Reanude el servicio del programador de copias de seguridad.
Ejemplo
Tres archivos preparados
int_key.pem: clave privada de CA intermedia interna en formato
PKCS1 int_cert.crt: certificado
de CA intermedio interno root_ca.crt: certificado
de CA raíz interno int_key.pem
int_cert.crt
root_ca.crt
Installation
Después de la instalación
Una vez que se completa el script de instalación, es posible que sea necesario volver a registrar manualmente algunos clientes basados en agente y proxies de VMware.
Si desea comprobar el contenido del almacén de claves de Avamar para ver el resultado de la ejecución del script, ejecute el siguiente comando:
Mcrsaroot debe ser un alias solo de CA con una CA de restricción básica: Verdadero
Mcrsatls debe ser un certificado de entidad final completamente encadenado que se emite al servidor Avamar mediante una CA descendente suministrada por el usuario
Si desea validar que los certificados se reemplazaron, puede conectarse a Avamar Utility Node como un cliente seguro mediante openssl para obtener el contenido del certificado para los puertos gsan/mcs/registration.
Avamar expone varios puertos con certificados instalados.
Los servidores web en Avamar exponen los siguientes puertos con certificados SSL:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Cuando se habilita la seguridad de sesión, los siguientes puertos cargan certificados SSL:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Cuando la seguridad de sesión está habilitada, los clientes de respaldo cargan certificados SSL en los siguientes puertos:
Port Service 30002 Avagent/MCS secure listening port (backup client)
Este artículo de la base de conocimientos instructivo tiene como objetivo describir el contexto adecuado en el cual reemplazar la autoridad de certificación en los puertos seguros que se utilizan cuando la seguridad de sesión está habilitada para el registro, los respaldos y la replicación del cliente.
Escenarios
Primer escenario:
Si desea reemplazar los certificados del servidor web Avamar, consulte el siguiente artículo de la base de conocimientos:
000198691 | Avamar 19.2+ : Instale certificados de servidor web firmados para avinstaller, aam/flr/dtlt, mcsdk, rmi y apache aui
Segundo escenario:
Si desea reemplazar los certificados que se utilizan para respaldos/replicación/registro (gsan/mc root ca):
Siga los pasos que se indican a continuación para reemplazar la CA de Avamar por una CA propia.
Antecedentes
de seguridad de la sesiónDe la guía
de seguridad del productoCaracterísticas
de seguridad de sesiónLas características de seguridad de sesión de Avamar se proporcionan mediante la instalación de Avamar, la configuración de Avamar Virtual Edition (AVE), los paquetes de flujo de trabajo de actualización y el flujo de trabajo de configuración de seguridad de sesión independiente.
Las funciones de seguridad de sesión incluyen mejoras de seguridad para las comunicaciones entre los procesos del sistema Avamar.
El sistema Avamar protege todas las comunicaciones entre los procesos del sistema Avamar mediante vales de sesión. Se requiere un vale de sesión válido antes de que un proceso del sistema Avamar acepte una transmisión desde otro proceso del sistema Avamar.
Los vales de sesión tienen las siguientes características generales:
- El vale de sesión está encriptado y firmado para protegerlo contra modificaciones.
- La entrada de la sesión es válida durante un breve periodo de tiempo.
- Cada vale de sesión contiene una firma única y se asigna a un solo proceso del sistema Avamar.
- La integridad de un ticket de sesión está protegida por el cifrado.
- Cada nodo del sistema Avamar verifica por separado la firma del ticket de sesión.
- Una sesión se puede extender más allá de la vida útil del ticket de sesión cuando sea necesario.
Autenticación del
servidor AvamarDespués de instalar las características de seguridad de sesión, el sistema Avamar actúa como una autoridad de certificación privada y genera un certificado de servidor único para el sistema Avamar.
El sistema Avamar instala la clave pública para el certificado del servidor en cada cliente Avamar registrado en el servidor Avamar. Avamar Client utiliza la clave pública para autenticar las transmisiones del sistema Avamar.
En el caso de los clientes que están registrados actualmente, la clave pública del certificado de servidor y otros archivos de certificado necesarios se propagan al cliente dentro de una hora después de la instalación.El sistema Avamar también comparte automáticamente el certificado de Avamar Server con los nodos de almacenamiento de Avamar. El uso compartido del certificado permite que el nodo de utilidad y los nodos de almacenamiento proporcionen el mismo certificado para la autenticación.
Hay un artículo complementario de la base de conocimientos con más información sobre la seguridad de la sesión a continuación:
000222278 | Avamar: Seguridad de sesión
Comprobar la configuración
de seguridad de la sesiónInicie sesión en el servidor Avamar mediante SSH
Como usuario raíz, ejecute el siguiente comando:
enable_secure_config.sh --showconfig
Si alguno de los valores de configuración devuelve true, la seguridad de la sesión está habilitada.
Si necesita ayuda adicional para cambiar la configuración de seguridad de la sesión, consulte los siguientes artículos de la base de conocimientos:
000222234 | Avamar: Administración de la configuración de seguridad de la sesión desde la CLI
000222279 | Avamar: Administrar la configuración de seguridad de la sesión con el paquete de instalación de Avinstaller (AVP)
Notas
Diferencia entre el reemplazo de certificados de servidor web y certificados raíz de gsan/mcs:
- Los certificados del servidor web se reemplazaron mediante la aui.
- Los certificados de servidor web pueden usar cas públicas o encadenadas internas.
- Los certificados de servidor web instalan un certificado leaf/server/end-entity con su clave privada correspondiente.
- El certificado del servidor del certificado del servidor web tiene una restricción básica de CA: False, lo que indica que el certificado NO se puede utilizar para emitir más certificados de CA descendentes (como otra CA intermedia):
los certificados raíz gsan/mcs se reemplazaron mediante importcert.sh script en Avamar Utility Node.
- Los certificados raíz gsan/mcs son certificados de CA, NO de hoja/servidor/entidad final.
- Los certificados raíz gsan/mcs tienen una restricción básica de CA: Verdadero:
¿Qué es una restricción básica?
Basic Constraints es una extensión de certificado X.509 versión 3 y se utiliza para identificar el tipo de titular o sujeto del certificado.
Si el certificado es una CA raíz o una CA intermedia, se espera que tenga una extensión de restricciones básicas con el valor booleano de la CA establecido en True. Esto permitiría que el certificado firme otros certificados y listas de revocación de certificados (CRL), valide la firma de los certificados emitidos y, opcionalmente, establezca restricciones o restricciones en la configuración de los certificados emitidos.
Si el certificado es un certificado de hoja/servidor/entidad final, se espera que tenga una extensión de restricciones básicas con el valor booleano de CA establecido en False. Un certificado de entidad final no puede firmar más certificados descendentes.
Cuando se reemplazan los certificados de CA raíz de GSAN/MC, se reemplazan por otra autoridad de certificación (CA). Es probable que sea interna, ya que ninguna CA de confianza pública entregaría su clave privada de CA a un cliente final.
Pasos para reemplazar una CA de Avamar por una CA
suministrada por el usuario1. Prepare los archivos de certificado raíz/intermedio:
- Clave privada: La clave privada correspondiente al certificado de CA descendente más lejano que tiene la capacidad de emitir certificados.
- Certificado de 'servidor': El certificado de CA descendente más lejano en formato de correo con privacidad mejorada (PEM) que tiene la capacidad de emitir certificados.
- certificado de cadena: un archivo que contiene certificados CA intermedios/raíz concatenados con formato PEM para crear una cadena de confianza.
2. Ejecute el script importcert.sh como usuario raíz para instalar la nueva CA proporcionada por el usuario:
importcert.sh <private key> <cert> <chain>El script:
- Detendrá MCS y el programador de respaldo.
- Verifique que la clave y el certificado coincidan.
- Verifique que el archivo de cadena cree una cadena de confianza para el certificado.
- Importe los archivos al almacén de claves de Avamar.
- Actualice los certificados GSAN.
- Inicie MCS:
intente volver a registrar todos los clientes.
- Resincronizar con Data Domain.
- Reanude el servicio del programador de copias de seguridad.
Ejemplo
Tres archivos preparados
int_key.pem: clave privada de CA intermedia interna en formato
PKCS1 int_cert.crt: certificado
de CA intermedio interno root_ca.crt: certificado
de CA raíz interno int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Installation
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Después de la instalación
Una vez que se completa el script de instalación, es posible que sea necesario volver a registrar manualmente algunos clientes basados en agente y proxies de VMware.
Si desea comprobar el contenido del almacén de claves de Avamar para ver el resultado de la ejecución del script, ejecute el siguiente comando:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Alias:
Mcrsaroot debe ser un alias solo de CA con una CA de restricción básica: Verdadero
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"ejemplo
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls debe ser un certificado de entidad final completamente encadenado que se emite al servidor Avamar mediante una CA descendente suministrada por el usuario
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"ejemplo
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Si desea validar que los certificados se reemplazaron, puede conectarse a Avamar Utility Node como un cliente seguro mediante openssl para obtener el contenido del certificado para los puertos gsan/mcs/registration.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Solución de problemas
Si se produce el siguiente error durante el script, es probable que se deba a que se intenta instalar un certificado de entidad final en lugar de una CA capaz de emitir certificados.
5. Refresh tls cert Refresh tls ERROR
Si el puerto 30002 en el nodo de utilidad de Avamar aún muestra los certificados antiguos después de que el script se complete correctamente, reinicie Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.