Avamar:Avamar認証局(CA)をユーザーが指定した認証局(CA)にインストールまたは交換する
Summary: デフォルトの自己署名管理コンソール サービス(MCS)ルート認証局(CA)をgsan/mcs/avagentの独自のCAに置き換える方法。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
背景
Avamarは、証明書がインストールされた複数のポートを公開します。
Avamar上のWebサーバーは、SSL証明書を使用して次のポートを公開します。
セッション セキュリティが有効な場合、次のポートはSSL証明書をロードします。
セッション セキュリティが有効になっている場合、バックアップ クライアントは次のポートにSSL証明書をロードします。
このハウツーKB記事では、クライアントの登録、バックアップ、レプリケーションに対してセッション セキュリティが有効になっている場合に使用されるセキュア ポートの認証局を置き換える適切なコンテキストについて説明します
シナリオ
最初のシナリオ:
Avamar Webサーバー証明書を置き換える場合は、次のKB記事を参照してください。
000198691 |Avamar 19.2+: avinstaller、aam/flr/dtlt、mcsdk、rmi、apache auiの署名済みWebサーバー証明書をインストールします
2番目のシナリオ:
バックアップ/レプリケーション/登録(gsan/mc root ca)に使用される証明書を置き換える場合は、次の手順を実行します
次の手順に従って、Avamar CAを独自のCAに置き換えます
セッション セキュリティの背景
製品セキュリティガイドから
セッション セキュリティ機能
Avamarセッション セキュリティ機能は、Avamarのインストール、Avamar Virtual Edition(AVE)構成、アップグレード ワークフロー パッケージ、スタンドアロン セッション セキュリティ構成ワークフローによって提供されます
セッション セキュリティ機能には、Avamarシステム プロセス間の通信に関するセキュリティの向上が含まれます。
Avamarシステムは、セッション チケットを使用して、Avamarシステム プロセス間のすべての通信を保護します。Avamarシステム プロセスが別のAvamarシステム プロセスからの転送を受け入れるには、有効なセッション チケットが必要です
セッション チケットには、次の一般的な特性があります。
- セッション チケットは暗号化され、変更から保護されるように署名されています
- セッションチケットは短期間有効です
- 各セッション チケットには一意の署名が含まれ、1つのAvamarシステム プロセスにのみ割り当てられます。
- セッションチケットの整合性は暗号化によって保護されます
- 各Avamarシステム ノードは、セッション チケットの署名を個別に検証します。
- 必要に応じて、セッションチケットの有効期間を超えてセッションを延長できます
Avamarサーバー認証
セッション セキュリティ機能をインストールすると、 Avamarシステムはプライベート認証局として機能し 、Avamarシステム用に一意のサーバー証明書を生成します。
Avamarシステムは、Avamar Serverに登録されているすべてのAvamar Clientにサーバー証明書の公開キーをインストールします。Avamar Clientは、公開キーを使用してAvamarシステムからの送信を認証します。
現在登録されているクライアントの場合、サーバー証明書の公開キーとその他の必要な証明書ファイルは、インストールから1時間以内にクライアントに伝搬されます。また、Avamarシステムは、Avamar Server証明書をAvamarストレージ ノードと自動的に共有します。証明書を共有すると、ユーティリティー ノードとストレージ ノードは、認証に同じ証明書を提供できます。
セッション セキュリティの詳細については、以下に補足KB記事があります:
000222278 |Avamar: セッション セキュリティ
セッション セキュリティ設定を確認します
rootユーザーとしてssh
を使用してAvamar Serverにログインし、次のコマンドを実行します。
いずれかの設定でtrueが返された場合、セッション セキュリティが有効になっています。
セッション セキュリティ設定の変更に関する追加のヘルプが必要な場合は、次のKB記事を参照してください:
000222234 |Avamar: CLIからセッション セキュリティ設定を管理します
000222279 |Avamar: Avinstallerインストール パッケージ(AVP)を使用してセッション セキュリティ設定を管理します
メモ
Webサーバー証明書とgsan/mcsルート証明書の置き換えの違い:
- aui.
を使用して置き換えられた Web サーバー証明書- Webサーバー証明書は、パブリックまたは内部チェーンca.
を使用できます。- Webサーバー証明書は、リーフ/サーバー/エンドエンティティ証明書とそれに対応する秘密鍵をインストールします
- Webサーバー証明書のサーバー証明書には、CAの基本的な制約があります。False。証明書を使用してそれ以上のダウンストリームCA証明書(別の中間CAなど)を発行できないことを示します
- Avamar Utility Nodeで importcert.sh スクリプトを使用してgsan/mcsルート証明書を置き換えます。
- gsan/mcsルート証明書はCA証明書であり、リーフ/サーバー/エンドエンティティではありません
- gsan/mcsルート証明書には、CAの基本的な制約があります。True
基本的な制約とは何ですか
基本制約は X.509 バージョン 3 証明書拡張機能であり、証明書の所有者またはサブジェクトのタイプを識別するために使用されます
証明書がルート CA または中間 CA の場合は、CA のブール値が True に設定された基本制約拡張機能が必要です。これにより、証明書は他の証明書と証明書失効リスト(CRL)に署名し、発行された証明書の署名を検証し、必要に応じて発行された証明書の構成に制限または制約を設定できます
証明書がリーフ/サーバー/エンドエンティティ証明書の場合は、CA ブール値が False に設定された基本制約拡張機能が必要です。エンドエンティティ証明書は、それ以上のダウンストリーム証明書に署名することはできません。
GSAN/MCルートCA証明書を置き換える場合は、別の認証局(CA)に置き換えられます。公的に信頼されているCAがCAプライベート キーをエンド カスタマーに渡すことはないので、おそらく内部的な問題です
Avamar CAをユーザー提供のCAに置き換える手順
1.ルート/中間証明書ファイルを準備します。
- 秘密鍵: 証明書を発行する機能を持つ、さらに下流の CA 証明書に対応する秘密キー。
- 「サーバー」証明書: 証明書を発行する機能を持つ、Privacy-Enhanced Mail (PEM)形式のさらに下流のCA証明書。
- チェーン証明書:信頼チェーンを構築するための連結されたPEM形式の中間/ルートCA証明書を含む1つのファイル
2.rootユーザーとして importcert.sh スクリプトを実行して、ユーザー指定の新しいCAをインストールします。
- MCSとバックアップ スケジューラーを停止します。
- キーと証明書の一致を確認します
- チェーン ファイルが証明書の信頼チェーンを構築することを確認します
- ファイルをAvamarキーストアにインポートします。
- GSAN証明書を更新します
- MCS
- すべてのクライアントの再登録を試みます
- Data Domain.
と再同期します。- バックアップ スケジューラ サービスを再開します。
例
3つのファイルが準備されました
int_key.pem - PKCS1形式の内部中間CAプライベート キー
int_cert.crt - 内部中間CA証明書
root_ca.crt - 内部ルートCA証明書
int_key.pem
int_cert.crt
root_ca.crt
インストール
インストール後
インストール スクリプトが完了したら、一部のエージェントベースのクライアントとVMwareプロキシを手動で再登録する必要がある場合があります
スクリプトを実行した結果を確認するためにAvamarキーストアの内容を確認する場合は、次のコマンドを実行します。
Mcrsarootは、基本的な制約CAを持つCAのみのエイリアスである必要があります。正しい
Mcrsatlsは、ユーザーが指定したダウンストリームCAによってAvamarサーバーに発行される、完全にチェーンされたエンド エンティティ証明書である必要があります
証明書が置き換えられたことを検証する場合は、opensslを使用してセキュア クライアントとしてAvamarユーティリティー ノードに接続し、gsan/mcs/registrationポートの証明書コンテンツを取得できます。
Avamarは、証明書がインストールされた複数のポートを公開します。
Avamar上のWebサーバーは、SSL証明書を使用して次のポートを公開します。
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
セッション セキュリティが有効な場合、次のポートはSSL証明書をロードします。
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
セッション セキュリティが有効になっている場合、バックアップ クライアントは次のポートにSSL証明書をロードします。
Port Service 30002 Avagent/MCS secure listening port (backup client)
このハウツーKB記事では、クライアントの登録、バックアップ、レプリケーションに対してセッション セキュリティが有効になっている場合に使用されるセキュア ポートの認証局を置き換える適切なコンテキストについて説明します
シナリオ
最初のシナリオ:
Avamar Webサーバー証明書を置き換える場合は、次のKB記事を参照してください。
000198691 |Avamar 19.2+: avinstaller、aam/flr/dtlt、mcsdk、rmi、apache auiの署名済みWebサーバー証明書をインストールします
2番目のシナリオ:
バックアップ/レプリケーション/登録(gsan/mc root ca)に使用される証明書を置き換える場合は、次の手順を実行します
次の手順に従って、Avamar CAを独自のCAに置き換えます
セッション セキュリティの背景
製品セキュリティガイドから
セッション セキュリティ機能
Avamarセッション セキュリティ機能は、Avamarのインストール、Avamar Virtual Edition(AVE)構成、アップグレード ワークフロー パッケージ、スタンドアロン セッション セキュリティ構成ワークフローによって提供されます
セッション セキュリティ機能には、Avamarシステム プロセス間の通信に関するセキュリティの向上が含まれます。
Avamarシステムは、セッション チケットを使用して、Avamarシステム プロセス間のすべての通信を保護します。Avamarシステム プロセスが別のAvamarシステム プロセスからの転送を受け入れるには、有効なセッション チケットが必要です
セッション チケットには、次の一般的な特性があります。
- セッション チケットは暗号化され、変更から保護されるように署名されています
- セッションチケットは短期間有効です
- 各セッション チケットには一意の署名が含まれ、1つのAvamarシステム プロセスにのみ割り当てられます。
- セッションチケットの整合性は暗号化によって保護されます
- 各Avamarシステム ノードは、セッション チケットの署名を個別に検証します。
- 必要に応じて、セッションチケットの有効期間を超えてセッションを延長できます
Avamarサーバー認証
セッション セキュリティ機能をインストールすると、 Avamarシステムはプライベート認証局として機能し 、Avamarシステム用に一意のサーバー証明書を生成します。
Avamarシステムは、Avamar Serverに登録されているすべてのAvamar Clientにサーバー証明書の公開キーをインストールします。Avamar Clientは、公開キーを使用してAvamarシステムからの送信を認証します。
現在登録されているクライアントの場合、サーバー証明書の公開キーとその他の必要な証明書ファイルは、インストールから1時間以内にクライアントに伝搬されます。また、Avamarシステムは、Avamar Server証明書をAvamarストレージ ノードと自動的に共有します。証明書を共有すると、ユーティリティー ノードとストレージ ノードは、認証に同じ証明書を提供できます。
セッション セキュリティの詳細については、以下に補足KB記事があります:
000222278 |Avamar: セッション セキュリティ
セッション セキュリティ設定を確認します
rootユーザーとしてssh
を使用してAvamar Serverにログインし、次のコマンドを実行します。
enable_secure_config.sh --showconfig
いずれかの設定でtrueが返された場合、セッション セキュリティが有効になっています。
セッション セキュリティ設定の変更に関する追加のヘルプが必要な場合は、次のKB記事を参照してください:
000222234 |Avamar: CLIからセッション セキュリティ設定を管理します
000222279 |Avamar: Avinstallerインストール パッケージ(AVP)を使用してセッション セキュリティ設定を管理します
メモ
Webサーバー証明書とgsan/mcsルート証明書の置き換えの違い:
- aui.
を使用して置き換えられた Web サーバー証明書- Webサーバー証明書は、パブリックまたは内部チェーンca.
を使用できます。- Webサーバー証明書は、リーフ/サーバー/エンドエンティティ証明書とそれに対応する秘密鍵をインストールします
- Webサーバー証明書のサーバー証明書には、CAの基本的な制約があります。False。証明書を使用してそれ以上のダウンストリームCA証明書(別の中間CAなど)を発行できないことを示します
- Avamar Utility Nodeで importcert.sh スクリプトを使用してgsan/mcsルート証明書を置き換えます。
- gsan/mcsルート証明書はCA証明書であり、リーフ/サーバー/エンドエンティティではありません
- gsan/mcsルート証明書には、CAの基本的な制約があります。True
基本的な制約とは何ですか
基本制約は X.509 バージョン 3 証明書拡張機能であり、証明書の所有者またはサブジェクトのタイプを識別するために使用されます
証明書がルート CA または中間 CA の場合は、CA のブール値が True に設定された基本制約拡張機能が必要です。これにより、証明書は他の証明書と証明書失効リスト(CRL)に署名し、発行された証明書の署名を検証し、必要に応じて発行された証明書の構成に制限または制約を設定できます
証明書がリーフ/サーバー/エンドエンティティ証明書の場合は、CA ブール値が False に設定された基本制約拡張機能が必要です。エンドエンティティ証明書は、それ以上のダウンストリーム証明書に署名することはできません。
GSAN/MCルートCA証明書を置き換える場合は、別の認証局(CA)に置き換えられます。公的に信頼されているCAがCAプライベート キーをエンド カスタマーに渡すことはないので、おそらく内部的な問題です
Avamar CAをユーザー提供のCAに置き換える手順
1.ルート/中間証明書ファイルを準備します。
- 秘密鍵: 証明書を発行する機能を持つ、さらに下流の CA 証明書に対応する秘密キー。
- 「サーバー」証明書: 証明書を発行する機能を持つ、Privacy-Enhanced Mail (PEM)形式のさらに下流のCA証明書。
- チェーン証明書:信頼チェーンを構築するための連結されたPEM形式の中間/ルートCA証明書を含む1つのファイル
2.rootユーザーとして importcert.sh スクリプトを実行して、ユーザー指定の新しいCAをインストールします。
importcert.sh <private key> <cert> <chain>スクリプトは
- MCSとバックアップ スケジューラーを停止します。
- キーと証明書の一致を確認します
- チェーン ファイルが証明書の信頼チェーンを構築することを確認します
- ファイルをAvamarキーストアにインポートします。
- GSAN証明書を更新します
- MCS
- すべてのクライアントの再登録を試みます
- Data Domain.
と再同期します。- バックアップ スケジューラ サービスを再開します。
例
3つのファイルが準備されました
int_key.pem - PKCS1形式の内部中間CAプライベート キー
int_cert.crt - 内部中間CA証明書
root_ca.crt - 内部ルートCA証明書
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
インストール
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
インストール後
インストール スクリプトが完了したら、一部のエージェントベースのクライアントとVMwareプロキシを手動で再登録する必要がある場合があります
スクリプトを実行した結果を確認するためにAvamarキーストアの内容を確認する場合は、次のコマンドを実行します。
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)エイリアス:
Mcrsarootは、基本的な制約CAを持つCAのみのエイリアスである必要があります。正しい
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"例
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatlsは、ユーザーが指定したダウンストリームCAによってAvamarサーバーに発行される、完全にチェーンされたエンド エンティティ証明書である必要があります
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"例
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
証明書が置き換えられたことを検証する場合は、opensslを使用してセキュア クライアントとしてAvamarユーティリティー ノードに接続し、gsan/mcs/registrationポートの証明書コンテンツを取得できます。
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
トラブルシューティング
スクリプトの実行中に次のエラーが発生した場合は、証明書を発行できるCAではなく、エンドエンティティ証明書をインストールしようとしたことが原因である可能性があります。
5. Refresh tls cert Refresh tls ERROR
スクリプトが正常に完了した後も、Avamar ユーティリティノードのポート 30002 に古い証明書が表示されている場合は、Avagent を再起動します。
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.