Avamar: Installazione o sostituzione dell'autorità di certificazione (CA) Avamar con l'autorità di certificazione (CA) fornita dall'utente
Summary: Come sostituire le autorità di certificazione (CA) root MCS (Management Console Service) autofirmate predefinite con la propria CA per gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Sfondo
Avamar espone diverse porte su cui sono installati i certificati.
I web server su Avamar espongono le seguenti porte con certificati SSL:
Quando la sicurezza della sessione è abilitata, le seguenti porte caricano i certificati ssl:
Quando la sicurezza della sessione è abilitata, i backup client caricano i certificati SSL sulle seguenti porte:
Questo articolo della Knowledge Base di procedura ha lo scopo di descrivere il contesto corretto in cui sostituire l'autorità di certificazione sulle porte protette utilizzate quando la sicurezza della sessione è abilitata per la registrazione, i backup e la replica dei client.
Scenari
Primo scenario:
Se si desidera sostituire i certificati dell'Avamar Web Server, consultare il seguente articolo della Knowledge Base:
000198691 | Avamar 19.2+ : Installazione dei certificati del web server firmati per avinstaller, aam/flr/dtlt, mcsdk, rmi e apache aui
Secondo scenario:
Se si desidera sostituire i certificati utilizzati per backup/replica/registrazione (CA radice gsan/mc):
attenersi alla seguente procedura per sostituire la CA Avamar con la propria CA.
Background
di sicurezza della sessioneDalla Guida
alla sicurezza del prodottoFunzionalità
di protezione delle sessioniLe funzionalità di protezione della sessione Avamar sono fornite dall'installazione di Avamar, dalla configurazione di Avamar Virtual Edition (AVE), dai pacchetti del flusso di lavoro di upgrade e dal flusso di lavoro di configurazione della sicurezza della sessione standalone.
Le funzionalità di protezione delle sessioni includono miglioramenti della sicurezza per le comunicazioni tra i processi del sistema Avamar.
Il sistema Avamar protegge tutte le comunicazioni tra i processi del sistema Avamar utilizzando ticket di sessione. È necessario un ticket di sessione valido prima che un processo del sistema Avamar accetti una trasmissione da un altro processo del sistema Avamar.
I ticket di sessione hanno le seguenti caratteristiche generali:
- Il ticket di sessione è crittografato e firmato per proteggersi dalla modifica.
- Il biglietto della sessione è valido per un breve periodo di tempo.
- Ogni ticket di sessione contiene una firma univoca ed è assegnato a un solo processo del sistema Avamar.
- L'integrità di un ticket di sessione è protetta dalla crittografia.
- Ogni nodo del sistema Avamar verifica separatamente la firma del ticket di sessione.
- Una sessione può essere estesa oltre la durata del ticket della sessione quando necessario.
Autenticazione
di Avamar ServerDopo aver installato le funzionalità di protezione della sessione, il sistema Avamar funge da autorità di certificazione privata e genera un certificato server univoco per il sistema Avamar.
Il sistema Avamar installa la chiave pubblica per il certificato del server su ogni Avamar Client registrato con l'Avamar Server. Gli Avamar Client utilizzano la chiave pubblica per autenticare le trasmissioni provenienti dal sistema Avamar.
Per i client attualmente registrati, la chiave pubblica per il certificato server e gli altri file di certificato richiesti vengono propagati al client entro un'ora dall'installazione.Il sistema Avamar condivide automaticamente il certificato dell'Avamar Server con gli storage node Avamar. La condivisione del certificato consente all'utility node e agli storage node di fornire lo stesso certificato per l'autenticazione.
Di seguito è riportato un articolo supplementare della Knowledge Base con ulteriori informazioni sulla sicurezza delle sessioni:
000222278 | Avamar: Sicurezza delle
sessioniControllare le impostazioni
di sicurezza della sessioneAccedere ad Avamar Server utilizzando ssh
Come utente root, eseguire il seguente comando:
Se una delle impostazioni restituisce true, la sicurezza della sessione è abilitata.
Per ulteriore assistenza nella modifica delle impostazioni di protezione della sessione, consultare i seguenti articoli della Knowledge Base:
000222234 | Avamar: Gestione delle impostazioni di sicurezza delle sessioni dalla CLI
000222279 | Avamar: Gestione delle impostazioni di sicurezza della sessione con Avinstaller Installation Package (AVP)
Note
Differenza tra la sostituzione dei certificati del web server e dei certificati radice gsan/mcs:
- I certificati del server Web sono stati sostituiti utilizzando l'aui.
- I certificati del server Web possono utilizzare una ca concatenata pubblica o interna.
- I certificati del server Web installano un certificato leaf/server/entità finale con la chiave privata corrispondente.
- Il certificato del server del certificato del server Web ha un vincolo di base della CA: Falso, indica che il certificato NON può essere utilizzato per emettere ulteriori certificati CA downstream (come un'altra CA intermedia):
certificati root gsan/mcs sostituiti utilizzando importcert.sh script su Avamar Utility Node.
- i certificati radice gsan/mcs sono certificati CA, NON leaf/server/entità finale.
- i certificati radice gsan/mcs hanno un vincolo di base di CA: True
Che cos'è un vincolo di base?
Basic Constraints è un'estensione del certificato X.509 versione 3 e viene utilizzata per identificare il tipo di titolare o soggetto del certificato.
Se il certificato è una CA radice o una CA intermedia, dovrebbe avere un'estensione dei vincoli di base con il valore booleano della CA impostato su True. Ciò consente al certificato di firmare altri certificati e l'elenco di revoche di certificati (CRL), convalidare la firma dei certificati emessi e, facoltativamente, impostare restrizioni o vincoli sulla configurazione dei certificati emessi.
Se il certificato è un certificato di entità foglia/server/finale, si prevede che abbia un'estensione dei vincoli di base con il valore booleano CA impostato su False. Un certificato di entità finale non può firmare ulteriori certificati downstream.
Quando si sostituiscono i certificati CA radice GSAN/MC, questi vengono sostituiti con un'altra autorità di certificazione (CA). Probabilmente interna, dal momento che nessuna CA pubblicamente attendibile consegnerebbe mai la propria chiave privata CA a un cliente finale.
Procedura per sostituire la CA Avamar con la CA
fornita dall'utente1. Preparare i file di certificato radice/intermedio:
- chiave privata: Chiave privata corrispondente al certificato CA più a valle in grado di emettere certificati.
- Certificato 'server': Certificato CA più a valle in formato PEM (Privacy-Enhanced Mail) in grado di emettere certificati.
- chain cert: un file contenente certificati CA intermedi/root formattati PEM concatenati per creare una catena di affidabilità.
2. Eseguire lo script importcert.sh come utente root per installare la nuova CA fornita dall'utente:
- Arresta MCS e l'utilità di pianificazione del backup.
- Verificare la corrispondenza tra chiave e certificato.
- Verificare che il file della catena crei una catena di attendibilità per il certificato.
- Importare i file nell'archivio chiavi Avamar.
- Aggiornare i certificati GSAN.
- Start MCS
- Tentare di registrare nuovamente tutti i client.
- Risincronizzazione con Data Domain.
- Riprendere il servizio di pianificazione dei backup.
Esempio
Preparazione
di tre file int_key.pem: chiave privata CA intermedia interna in formato
PKCS1 int_cert.crt - certificato
CA intermedio interno root_ca.crt - certificato
CA root interno int_key.pem
int_cert.crt
root_ca.crt
Installazione
Dopo l'installazione
Una volta completato lo script di installazione, potrebbe essere necessario registrare nuovamente alcuni client basati su agent manualmente e proxy VMware.
Se si desidera controllare il contenuto dell'archivio chiavi Avamar per visualizzare il risultato dell'esecuzione dello script, eseguire il comando seguente:
Mcrsaroot deve essere un alias solo CA con un vincolo di base CA: True
Mcrsatls deve essere un certificato dell'entità finale concatenato completo emesso per l'Avamar Server dalla CA downstream fornita dall'utente
Se si desidera verificare che i certificati siano stati sostituiti, è possibile connettersi ad Avamar Utility Node come client protetto utilizzando openssl per acquisire il contenuto del certificato per le porte gsan/mcs/registration.
Avamar espone diverse porte su cui sono installati i certificati.
I web server su Avamar espongono le seguenti porte con certificati SSL:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Quando la sicurezza della sessione è abilitata, le seguenti porte caricano i certificati ssl:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Quando la sicurezza della sessione è abilitata, i backup client caricano i certificati SSL sulle seguenti porte:
Port Service 30002 Avagent/MCS secure listening port (backup client)
Questo articolo della Knowledge Base di procedura ha lo scopo di descrivere il contesto corretto in cui sostituire l'autorità di certificazione sulle porte protette utilizzate quando la sicurezza della sessione è abilitata per la registrazione, i backup e la replica dei client.
Scenari
Primo scenario:
Se si desidera sostituire i certificati dell'Avamar Web Server, consultare il seguente articolo della Knowledge Base:
000198691 | Avamar 19.2+ : Installazione dei certificati del web server firmati per avinstaller, aam/flr/dtlt, mcsdk, rmi e apache aui
Secondo scenario:
Se si desidera sostituire i certificati utilizzati per backup/replica/registrazione (CA radice gsan/mc):
attenersi alla seguente procedura per sostituire la CA Avamar con la propria CA.
Background
di sicurezza della sessioneDalla Guida
alla sicurezza del prodottoFunzionalità
di protezione delle sessioniLe funzionalità di protezione della sessione Avamar sono fornite dall'installazione di Avamar, dalla configurazione di Avamar Virtual Edition (AVE), dai pacchetti del flusso di lavoro di upgrade e dal flusso di lavoro di configurazione della sicurezza della sessione standalone.
Le funzionalità di protezione delle sessioni includono miglioramenti della sicurezza per le comunicazioni tra i processi del sistema Avamar.
Il sistema Avamar protegge tutte le comunicazioni tra i processi del sistema Avamar utilizzando ticket di sessione. È necessario un ticket di sessione valido prima che un processo del sistema Avamar accetti una trasmissione da un altro processo del sistema Avamar.
I ticket di sessione hanno le seguenti caratteristiche generali:
- Il ticket di sessione è crittografato e firmato per proteggersi dalla modifica.
- Il biglietto della sessione è valido per un breve periodo di tempo.
- Ogni ticket di sessione contiene una firma univoca ed è assegnato a un solo processo del sistema Avamar.
- L'integrità di un ticket di sessione è protetta dalla crittografia.
- Ogni nodo del sistema Avamar verifica separatamente la firma del ticket di sessione.
- Una sessione può essere estesa oltre la durata del ticket della sessione quando necessario.
Autenticazione
di Avamar ServerDopo aver installato le funzionalità di protezione della sessione, il sistema Avamar funge da autorità di certificazione privata e genera un certificato server univoco per il sistema Avamar.
Il sistema Avamar installa la chiave pubblica per il certificato del server su ogni Avamar Client registrato con l'Avamar Server. Gli Avamar Client utilizzano la chiave pubblica per autenticare le trasmissioni provenienti dal sistema Avamar.
Per i client attualmente registrati, la chiave pubblica per il certificato server e gli altri file di certificato richiesti vengono propagati al client entro un'ora dall'installazione.Il sistema Avamar condivide automaticamente il certificato dell'Avamar Server con gli storage node Avamar. La condivisione del certificato consente all'utility node e agli storage node di fornire lo stesso certificato per l'autenticazione.
Di seguito è riportato un articolo supplementare della Knowledge Base con ulteriori informazioni sulla sicurezza delle sessioni:
000222278 | Avamar: Sicurezza delle
sessioniControllare le impostazioni
di sicurezza della sessioneAccedere ad Avamar Server utilizzando ssh
Come utente root, eseguire il seguente comando:
enable_secure_config.sh --showconfig
Se una delle impostazioni restituisce true, la sicurezza della sessione è abilitata.
Per ulteriore assistenza nella modifica delle impostazioni di protezione della sessione, consultare i seguenti articoli della Knowledge Base:
000222234 | Avamar: Gestione delle impostazioni di sicurezza delle sessioni dalla CLI
000222279 | Avamar: Gestione delle impostazioni di sicurezza della sessione con Avinstaller Installation Package (AVP)
Note
Differenza tra la sostituzione dei certificati del web server e dei certificati radice gsan/mcs:
- I certificati del server Web sono stati sostituiti utilizzando l'aui.
- I certificati del server Web possono utilizzare una ca concatenata pubblica o interna.
- I certificati del server Web installano un certificato leaf/server/entità finale con la chiave privata corrispondente.
- Il certificato del server del certificato del server Web ha un vincolo di base della CA: Falso, indica che il certificato NON può essere utilizzato per emettere ulteriori certificati CA downstream (come un'altra CA intermedia):
certificati root gsan/mcs sostituiti utilizzando importcert.sh script su Avamar Utility Node.
- i certificati radice gsan/mcs sono certificati CA, NON leaf/server/entità finale.
- i certificati radice gsan/mcs hanno un vincolo di base di CA: True
Che cos'è un vincolo di base?
Basic Constraints è un'estensione del certificato X.509 versione 3 e viene utilizzata per identificare il tipo di titolare o soggetto del certificato.
Se il certificato è una CA radice o una CA intermedia, dovrebbe avere un'estensione dei vincoli di base con il valore booleano della CA impostato su True. Ciò consente al certificato di firmare altri certificati e l'elenco di revoche di certificati (CRL), convalidare la firma dei certificati emessi e, facoltativamente, impostare restrizioni o vincoli sulla configurazione dei certificati emessi.
Se il certificato è un certificato di entità foglia/server/finale, si prevede che abbia un'estensione dei vincoli di base con il valore booleano CA impostato su False. Un certificato di entità finale non può firmare ulteriori certificati downstream.
Quando si sostituiscono i certificati CA radice GSAN/MC, questi vengono sostituiti con un'altra autorità di certificazione (CA). Probabilmente interna, dal momento che nessuna CA pubblicamente attendibile consegnerebbe mai la propria chiave privata CA a un cliente finale.
Procedura per sostituire la CA Avamar con la CA
fornita dall'utente1. Preparare i file di certificato radice/intermedio:
- chiave privata: Chiave privata corrispondente al certificato CA più a valle in grado di emettere certificati.
- Certificato 'server': Certificato CA più a valle in formato PEM (Privacy-Enhanced Mail) in grado di emettere certificati.
- chain cert: un file contenente certificati CA intermedi/root formattati PEM concatenati per creare una catena di affidabilità.
2. Eseguire lo script importcert.sh come utente root per installare la nuova CA fornita dall'utente:
importcert.sh <private key> <cert> <chain>Lo script:
- Arresta MCS e l'utilità di pianificazione del backup.
- Verificare la corrispondenza tra chiave e certificato.
- Verificare che il file della catena crei una catena di attendibilità per il certificato.
- Importare i file nell'archivio chiavi Avamar.
- Aggiornare i certificati GSAN.
- Start MCS
- Tentare di registrare nuovamente tutti i client.
- Risincronizzazione con Data Domain.
- Riprendere il servizio di pianificazione dei backup.
Esempio
Preparazione
di tre file int_key.pem: chiave privata CA intermedia interna in formato
PKCS1 int_cert.crt - certificato
CA intermedio interno root_ca.crt - certificato
CA root interno int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Installazione
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Dopo l'installazione
Una volta completato lo script di installazione, potrebbe essere necessario registrare nuovamente alcuni client basati su agent manualmente e proxy VMware.
Se si desidera controllare il contenuto dell'archivio chiavi Avamar per visualizzare il risultato dell'esecuzione dello script, eseguire il comando seguente:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Alias:
Mcrsaroot deve essere un alias solo CA con un vincolo di base CA: True
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Esempio:
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls deve essere un certificato dell'entità finale concatenato completo emesso per l'Avamar Server dalla CA downstream fornita dall'utente
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Esempio:
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Se si desidera verificare che i certificati siano stati sostituiti, è possibile connettersi ad Avamar Utility Node come client protetto utilizzando openssl per acquisire il contenuto del certificato per le porte gsan/mcs/registration.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Risoluzione dei problemi
Se si verifica il seguente errore durante lo script, è probabile che sia dovuto al tentativo di installare un certificato di entità finale anziché una CA in grado di emettere certificati.
5. Refresh tls cert Refresh tls ERROR
Se la porta 30002 sull'utility node Avamar mostra ancora i certificati precedenti dopo il completamento dello script, riavviare Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.