Avamar: Instalar ou substituir a autoridade de certificação (CA) do Avamar por uma autoridade de certificação (CA) fornecida pelo usuário
Summary: Como substituir as autoridades de certificação (CA) raiz do MCS (Management Console Service) autoassinadas padrão por sua própria CA para gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Fundo
O Avamar expõe várias portas com certificados instalados nelas.
Os servidores da Web no Avamar expõem as seguintes portas com certificados SSL:
Quando a segurança da sessão está ativada, as seguintes portas carregam certificados SSL:
Quando a segurança da sessão está ativada, os clients de backup carregam certificados SSL nas seguintes portas:
Este artigo da base de conhecimento tem como objetivo descrever o contexto adequado no qual substituir a Autoridade de Certificação nas portas seguras usadas quando a segurança da sessão está habilitada para registro de client, backups e replicação.
Cenários
Primeiro cenário:
Se você quiser substituir os certificados do servidor da Web do Avamar, consulte o seguinte artigo da base de conhecimento:
000198691 | Avamar 19.2+ : Instalar certificados assinados do servidor Web para avinstaller, aam/flr/dtlt, mcsdk, rmi e apache aui
Segundo cenário:
Se você quiser substituir os certificados usados para backups/replicação/registro (gsan/mc root ca):
siga as etapas abaixo para substituir a CA do Avamar por sua própria CA.
Histórico
de segurança da sessãoNo Guia
de segurança do produtoRecursos de segurança da
sessãoOs recursos de segurança da sessão do Avamar são fornecidos pela instalação do Avamar, pela configuração do Avamar Virtual Edition (AVE), pelos pacotes de fluxo de trabalho de upgrade e pelo fluxo de trabalho de configuração de segurança da sessão independente.
Os recursos de segurança da sessão incluem melhorias de segurança para comunicações entre os processos do sistema Avamar.
O sistema Avamar protege todas as comunicações entre os processos do sistema Avamar usando tíquetes de sessão. Um tíquete de sessão válido é necessário antes que um processo do sistema Avamar aceite uma transmissão de outro processo do sistema Avamar.
Os tíquetes de sessão têm as seguintes características gerais:
- O tíquete de sessão é criptografado e assinado para proteger contra modificação.
- O ticket da sessão é válido por um curto período de tempo.
- Cada tíquete de sessão contém uma assinatura exclusiva e é atribuído a apenas um processo do sistema Avamar.
- A integridade de um ticket de sessão é protegida por criptografia.
- Cada nó do sistema Avamar verifica separadamente a assinatura do tíquete da sessão.
- Uma sessão pode ser estendida além da vida útil do ticket da sessão, quando necessário.
Autenticação
do Avamar ServerDepois de instalar os recursos de segurança da sessão, o sistema Avamar atua como uma autoridade de certificação privada e gera um certificado de servidor exclusivo para o sistema Avamar.
O sistema Avamar instala a chave pública do certificado do servidor em cada client Avamar registrado no servidor Avamar. Os Avamar Clients usam a chave pública para autenticar transmissões do sistema Avamar.
Para clientes que estão registrados no momento, a chave pública do certificado do servidor e outros arquivos de certificado necessários são propagados para o client em até uma hora após a instalação.O sistema Avamar também compartilha automaticamente o certificado do Avamar Server com os nós de armazenamento do Avamar. O compartilhamento do certificado permite que o nó do utilitário e os nós de armazenamento forneçam o mesmo certificado para autenticação.
Há um artigo complementar da KB com mais informações sobre a segurança da sessão abaixo:
000222278 | Avamar: Segurança da
sessãoVerificar configurações de segurança da
sessãoFaça log-in no servidor Avamar usando ssh
Como usuário root, execute o seguinte comando:
Se qualquer uma das configurações retornar true, a segurança da sessão será ativada.
Se precisar de ajuda adicional para alterar as configurações de segurança da sessão, consulte os seguintes artigos da base de conhecimento:
000222234 | Avamar: Gerenciar configurações de segurança da sessão a partir da CLI
000222279 | Avamar: Gerencie as configurações de segurança da sessão com o Avinstaller Installation Package (AVP)
Anotações
Diferença entre substituir certificados raiz gsan/mcs do servidor Web:
- Certificados do servidor Web substituídos usando o aui.
- Os certificados do servidor Web podem usar ca pública ou interna encadeada.
- Os certificados do servidor Web instalam um certificado leaf/server/end-entity com sua chave privada correspondente.
- O certificado do servidor de certificação do servidor Web tem uma restrição básica de CA: False, indicando que o certificado NÃO pode ser usado para emitir mais certificados da CA downstream (como outra CA intermediária)
- certificados raiz gsan/mcs substituídos usando importcert.sh script no Avamar Utility Node.
- certificados raiz gsan/mcs são certificados CA, NÃO leaf/server/end-entity.
- Os certificados raiz gsan/mcs têm uma restrição básica de CA: Verdadeiro
O que é uma restrição básica?
Basic Constraints é uma extensão de certificado X.509 Versão 3 e é usada para identificar o tipo de titular ou assunto do certificado.
Se o certificado for uma CA raiz ou uma CA intermediária, espera-se que ele tenha uma extensão de restrições básicas com a CA booleana definida como True. Isso permitiria que o certificado assinasse outros certificados e listas de revogação de certificados (CRLs), validasse a assinatura dos certificados emitidos e, opcionalmente, definisse restrições ou restrições na configuração dos certificados emitidos.
Se o certificado for um certificado folha/servidor/entidade final, espera-se que ele tenha uma extensão de restrições básicas com a CA booleana definida como False. Um certificado de entidade final não pode assinar outros certificados downstream.
Ao substituir os certificados de CA raiz GSAN/MC, eles são substituídos por outra autoridade de certificação (CA). Provavelmente interno, já que nenhuma CA publicamente confiável jamais entregaria sua chave privada da CA a um cliente final.
Etapas para substituir a CA do Avamar pela CA
fornecida pelo usuário1. Prepare seus arquivos de certificado raiz/intermediário:
- chave privada: A chave privada correspondente ao certificado da CA posterior que tem a capacidade de emitir certificados.
- Certificado de 'servidor': O certificado de CA mais downstream no formato Privacy-Enhanced Mail (PEM) que tem a capacidade de emitir certificados.
- chain cert: um arquivo contendo certificados CA intermediários/raiz formatados PEM concatenados para construir uma cadeia de confiança.
2. Execute o script importcert.sh como usuário root para instalar a nova CA fornecida pelo usuário:
- Interrompa o MCS e o agendador de backup.
- Verifique a correspondência de chave e certificado.
- Verifique se o arquivo de cadeia cria uma cadeia de confiança para o certificado.
- Importe os arquivos para o keystore do Avamar.
- Atualize os certificados GSAN.
- Iniciar MCS-
Tente registrar novamente todos os clientes.
- Ressincronizar com o Data Domain.
- Retome o serviço agendador de backup.
Exemplo
Três arquivos preparados
int_key.pem - intermediário interno chave privada da CA no formato
PKCS1 int_cert.crt - certificado
CA intermediário interno root_ca.crt - certificado
CA raiz interno int_key.pem
int_cert.crt
root_ca.crt
Instalação
Pós-instalação
Depois que o script de instalação estiver concluído, talvez seja necessário registrar novamente alguns clients baseados em agente manualmente e proxies VMware.
Se você quiser verificar o conteúdo do repositório de chaves do Avamar para ver o resultado da execução do script, execute o seguinte comando:
Mcrsaroot deve ser um alias somente de CA com uma restrição básica CA: Verdadeiro
Mcrsatls devem ser certificados de entidade final totalmente encadeados emitidos para o servidor Avamar pela CA posterior fornecida pelo usuário
Se quiser validar que os certificados foram substituídos, você pode se conectar ao Avamar Utility Node como um client seguro usando openssl para obter o conteúdo do certificado das portas gsan/mcs/registration.
O Avamar expõe várias portas com certificados instalados nelas.
Os servidores da Web no Avamar expõem as seguintes portas com certificados SSL:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Quando a segurança da sessão está ativada, as seguintes portas carregam certificados SSL:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Quando a segurança da sessão está ativada, os clients de backup carregam certificados SSL nas seguintes portas:
Port Service 30002 Avagent/MCS secure listening port (backup client)
Este artigo da base de conhecimento tem como objetivo descrever o contexto adequado no qual substituir a Autoridade de Certificação nas portas seguras usadas quando a segurança da sessão está habilitada para registro de client, backups e replicação.
Cenários
Primeiro cenário:
Se você quiser substituir os certificados do servidor da Web do Avamar, consulte o seguinte artigo da base de conhecimento:
000198691 | Avamar 19.2+ : Instalar certificados assinados do servidor Web para avinstaller, aam/flr/dtlt, mcsdk, rmi e apache aui
Segundo cenário:
Se você quiser substituir os certificados usados para backups/replicação/registro (gsan/mc root ca):
siga as etapas abaixo para substituir a CA do Avamar por sua própria CA.
Histórico
de segurança da sessãoNo Guia
de segurança do produtoRecursos de segurança da
sessãoOs recursos de segurança da sessão do Avamar são fornecidos pela instalação do Avamar, pela configuração do Avamar Virtual Edition (AVE), pelos pacotes de fluxo de trabalho de upgrade e pelo fluxo de trabalho de configuração de segurança da sessão independente.
Os recursos de segurança da sessão incluem melhorias de segurança para comunicações entre os processos do sistema Avamar.
O sistema Avamar protege todas as comunicações entre os processos do sistema Avamar usando tíquetes de sessão. Um tíquete de sessão válido é necessário antes que um processo do sistema Avamar aceite uma transmissão de outro processo do sistema Avamar.
Os tíquetes de sessão têm as seguintes características gerais:
- O tíquete de sessão é criptografado e assinado para proteger contra modificação.
- O ticket da sessão é válido por um curto período de tempo.
- Cada tíquete de sessão contém uma assinatura exclusiva e é atribuído a apenas um processo do sistema Avamar.
- A integridade de um ticket de sessão é protegida por criptografia.
- Cada nó do sistema Avamar verifica separadamente a assinatura do tíquete da sessão.
- Uma sessão pode ser estendida além da vida útil do ticket da sessão, quando necessário.
Autenticação
do Avamar ServerDepois de instalar os recursos de segurança da sessão, o sistema Avamar atua como uma autoridade de certificação privada e gera um certificado de servidor exclusivo para o sistema Avamar.
O sistema Avamar instala a chave pública do certificado do servidor em cada client Avamar registrado no servidor Avamar. Os Avamar Clients usam a chave pública para autenticar transmissões do sistema Avamar.
Para clientes que estão registrados no momento, a chave pública do certificado do servidor e outros arquivos de certificado necessários são propagados para o client em até uma hora após a instalação.O sistema Avamar também compartilha automaticamente o certificado do Avamar Server com os nós de armazenamento do Avamar. O compartilhamento do certificado permite que o nó do utilitário e os nós de armazenamento forneçam o mesmo certificado para autenticação.
Há um artigo complementar da KB com mais informações sobre a segurança da sessão abaixo:
000222278 | Avamar: Segurança da
sessãoVerificar configurações de segurança da
sessãoFaça log-in no servidor Avamar usando ssh
Como usuário root, execute o seguinte comando:
enable_secure_config.sh --showconfig
Se qualquer uma das configurações retornar true, a segurança da sessão será ativada.
Se precisar de ajuda adicional para alterar as configurações de segurança da sessão, consulte os seguintes artigos da base de conhecimento:
000222234 | Avamar: Gerenciar configurações de segurança da sessão a partir da CLI
000222279 | Avamar: Gerencie as configurações de segurança da sessão com o Avinstaller Installation Package (AVP)
Anotações
Diferença entre substituir certificados raiz gsan/mcs do servidor Web:
- Certificados do servidor Web substituídos usando o aui.
- Os certificados do servidor Web podem usar ca pública ou interna encadeada.
- Os certificados do servidor Web instalam um certificado leaf/server/end-entity com sua chave privada correspondente.
- O certificado do servidor de certificação do servidor Web tem uma restrição básica de CA: False, indicando que o certificado NÃO pode ser usado para emitir mais certificados da CA downstream (como outra CA intermediária)
- certificados raiz gsan/mcs substituídos usando importcert.sh script no Avamar Utility Node.
- certificados raiz gsan/mcs são certificados CA, NÃO leaf/server/end-entity.
- Os certificados raiz gsan/mcs têm uma restrição básica de CA: Verdadeiro
O que é uma restrição básica?
Basic Constraints é uma extensão de certificado X.509 Versão 3 e é usada para identificar o tipo de titular ou assunto do certificado.
Se o certificado for uma CA raiz ou uma CA intermediária, espera-se que ele tenha uma extensão de restrições básicas com a CA booleana definida como True. Isso permitiria que o certificado assinasse outros certificados e listas de revogação de certificados (CRLs), validasse a assinatura dos certificados emitidos e, opcionalmente, definisse restrições ou restrições na configuração dos certificados emitidos.
Se o certificado for um certificado folha/servidor/entidade final, espera-se que ele tenha uma extensão de restrições básicas com a CA booleana definida como False. Um certificado de entidade final não pode assinar outros certificados downstream.
Ao substituir os certificados de CA raiz GSAN/MC, eles são substituídos por outra autoridade de certificação (CA). Provavelmente interno, já que nenhuma CA publicamente confiável jamais entregaria sua chave privada da CA a um cliente final.
Etapas para substituir a CA do Avamar pela CA
fornecida pelo usuário1. Prepare seus arquivos de certificado raiz/intermediário:
- chave privada: A chave privada correspondente ao certificado da CA posterior que tem a capacidade de emitir certificados.
- Certificado de 'servidor': O certificado de CA mais downstream no formato Privacy-Enhanced Mail (PEM) que tem a capacidade de emitir certificados.
- chain cert: um arquivo contendo certificados CA intermediários/raiz formatados PEM concatenados para construir uma cadeia de confiança.
2. Execute o script importcert.sh como usuário root para instalar a nova CA fornecida pelo usuário:
importcert.sh <private key> <cert> <chain>O script irá:
- Interrompa o MCS e o agendador de backup.
- Verifique a correspondência de chave e certificado.
- Verifique se o arquivo de cadeia cria uma cadeia de confiança para o certificado.
- Importe os arquivos para o keystore do Avamar.
- Atualize os certificados GSAN.
- Iniciar MCS-
Tente registrar novamente todos os clientes.
- Ressincronizar com o Data Domain.
- Retome o serviço agendador de backup.
Exemplo
Três arquivos preparados
int_key.pem - intermediário interno chave privada da CA no formato
PKCS1 int_cert.crt - certificado
CA intermediário interno root_ca.crt - certificado
CA raiz interno int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Instalação
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Pós-instalação
Depois que o script de instalação estiver concluído, talvez seja necessário registrar novamente alguns clients baseados em agente manualmente e proxies VMware.
Se você quiser verificar o conteúdo do repositório de chaves do Avamar para ver o resultado da execução do script, execute o seguinte comando:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Aliases:
Mcrsaroot deve ser um alias somente de CA com uma restrição básica CA: Verdadeiro
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"exemplo
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls devem ser certificados de entidade final totalmente encadeados emitidos para o servidor Avamar pela CA posterior fornecida pelo usuário
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"exemplo
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Se quiser validar que os certificados foram substituídos, você pode se conectar ao Avamar Utility Node como um client seguro usando openssl para obter o conteúdo do certificado das portas gsan/mcs/registration.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Solucionando problemas
Se você encontrar o seguinte erro durante o script, provavelmente é devido à tentativa de instalar um certificado de entidade final em vez de uma CA capaz de emissão de certificado.
5. Refresh tls cert Refresh tls ERROR
Se a porta 30002 do Avamar Utility Node ainda mostrar os certificados antigos depois que o script for concluído com sucesso, reinicie o Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.