Avamar:以使用者提供的認證機構 (CA) 安裝或取代 Avamar 認證機構 (CA)
Summary: 如何將預設的自我簽署管理主控台服務 (MCS) root 認證機構 (CA) 替換為其自己的 gsan/mcs/avagent CA。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
背景
Avamar 會公開數個連接埠,並在其上安裝憑證。
Avamar 上的 Web 伺服器會使用 ssl 憑證公開下列連接埠:
啟用工作階段安全性後,以下埠會載入 ssl 憑證:
啟用工作階段安全性後,備份用戶端會在下列連接埠載入 ssl 憑證:
本操作方法 kb 文章旨在說明在為用戶端註冊、備份和複製啟用工作階段安全性時,替換安全連接埠上認證機構的適當背景關係。
場景
第一種情況:
如果您要更換 Avamar Web 伺服器憑證,請參閱下列 KB 文章:
000198691 |Avamar 19.2+ :為 avinstaller、aam/flr/dtlt、mcsdk、rmi 和 apache aui
安裝簽署的 Web 伺服器憑證第二種情況:
如果您要更換用於備份/複製/註冊的憑證 (gsan/mc root ca):
請按照以下步驟,將 Avamar CA 更換為您自己的 CA。
工作階段安全性背景
從產品安全指南
工作階段安全功能
Avamar 工作階段安全性功能是由 Avamar 安裝、Avamar Virtual Edition (AVE) 組態、升級工作流程套裝及獨立工作階段安全性組態工作流程提供。
工作階段安全性功能包括 Avamar 系統程序之間通訊的安全性改善。
Avamar 系統會使用工作階段票證來保護 Avamar 系統程序之間的所有通訊。Avamar 系統程序接受來自其他 Avamar 系統程序的傳輸之前,需要有效的工作階段票證。
會話票證具有以下常規特徵:
- 會話票證經過加密和簽名以防止修改。
- 會議門票的有效期很短。
- 每個工作階段工單包含唯一的簽名,並僅分配給一個 Avamar 系統進程。
- 會話票證的完整性受加密保護。
每個 Avamar 系統節點會個別驗證工作階段工單簽名。
- 如果需要,會話可以延長到會話票證的壽命之外。
Avamar 伺服器驗證
安裝工作階段安全性功能後, Avamar 系統會以私人認證機構的身份 運作,並為 Avamar 系統產生唯一的伺服器憑證。
Avamar 系統會在每一個向 Avamar 伺服器註冊的 Avamar 用戶端上安裝伺服器憑證的公開金鑰。Avamar 用戶端使用公開金鑰來驗證來自 Avamar 系統的傳輸。
對於目前已註冊的用戶端,伺服器憑證的公開金鑰和其他必需的憑證檔案將在安裝後一小時內傳播到用戶端。Avamar 系統也會自動與 Avamar 儲存節點共用 Avamar Server 憑證。共用證書允許工具節點和存儲節點提供相同的證書進行身份驗證。
下面有一篇補充知識庫文章,其中包含有關會話安全性的詳細資訊:
000222278 |Avamar:工作階段安全性
檢查工作階段安全性設定
使用 ssh
登入 Avamar 伺服器 以 root 使用者身分執行下列命令:
如果任何設置返回 true,則啟用會話安全性。
如果您需要其他協助變更工作階段安全性設定,請參閱下列知識庫文章:
000222234 |Avamar:從 CLI
管理工作階段安全性設定000222279 |Avamar:使用 Avinstaller 安裝套裝 (AVP)
管理工作階段安全性設定註解
更換 Web 伺服器憑證與 gsan/mcs 根憑證之間的差異:
- 使用 aui 替換的 Web 伺服器證書。
- Web 伺服器證書可以使用公共或內部鏈式 CA。
- Web 伺服器證書使用相應的私鑰安裝葉/伺服器/最終實體證書。
- Web 伺服器憑證的伺服器憑證具有 CA 的基本約束:False 表示憑證無法用來發出其他下游 CA 憑證 (如其他中繼 CA)
- 在 Avamar Utility Node 上使用指令檔取代的 gsan/mcs 根憑證 importcert.sh。
gsan/mcs 根憑證是 CA 憑證,而非分葉/伺服器/終端實體。
GSAN/MCS 根憑證具有 CA 的基本約束:True
什麼是基本約束?
基本約束是 X.509 版本 3 證書擴展,用於標識證書持有者或消費者的類型。
如果證書是根 CA 或中間 CA,則應具有將 CA 布爾值設置為 True 的基本約束擴展。這將允許證書對其他證書和證書吊銷清單 (CRL) 進行簽名,驗證已頒發證書的簽名,並選擇性地對已頒發證書的配置設置限制或約束。
如果憑證是分葉/伺服器/終端實體憑證,則應具有 CA 布林值設為 False 的基本約束擴充功能。最終實體證書無法進一步簽署下游證書。
更換 GSAN/MC 根 CA 憑證時,會更換為另一個認證機構 (CA)。可能是內部的,因為沒有公開信任的 CA 會將其 CA 私鑰交給最終客戶。
將 Avamar CA 更換為使用者提供的 CA
的步驟1.準備根/中間憑證檔案:
- 私密金鑰:對應於能夠頒發證書的最下游 CA 證書的私鑰。
- 「伺服器」憑證:隱私增強郵件 (PEM) 格式的最下游 CA 證書,能夠頒發證書。
- 鏈證書:一個包含串聯 PEM 格式的中間/根 CA 證書的檔,以構建信任鏈。
2.以 root 使用者身分執行 importcert.sh 指令檔,以安裝新使用者提供的 CA:
- 停止 MCS 和備份排程器。
- 驗證金鑰和證書匹配。
- 驗證鏈檔是否為證書構建信任鏈。
- 將檔案匯入 Avamar 金鑰存放區。
- 刷新 GSAN 證書。
- 啟動 MCS
- 嘗試重新註冊所有用戶端。
- 與數據域重新同步。
- 恢復備份計劃程式服務。
例
準備
了三個檔案 int_key.pem - PKCS1 格式
的內部中間 CA 私鑰 int_cert.crt - 內部中間 CA 憑證
root_ca.crt - 內部根 CA 憑證
int_key.pem
int_cert.crt
root_ca.crt
安裝
安裝
後安裝指令檔完成後,可能需要手動重新註冊某些代理程式型用戶端和 VMware 代理。
如果您要檢查 Avamar 金鑰存放區的內容,以查看執行指令檔的結果,請執行下列命令:
Mcrsaroot 應為具有基本約束 CA 的僅 CA 別名:實
Mcrsatls 應為由使用者供應的下游 CA 核發給 Avamar 伺服器的完整鏈結終端實體憑證
如果您要驗證憑證是否已更換,您可以使用 openssl 以安全用戶端身分連線至 Avamar 工具節點,以取得 gsan/mcs/註冊連接埠的憑證內容。
Avamar 會公開數個連接埠,並在其上安裝憑證。
Avamar 上的 Web 伺服器會使用 ssl 憑證公開下列連接埠:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
啟用工作階段安全性後,以下埠會載入 ssl 憑證:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
啟用工作階段安全性後,備份用戶端會在下列連接埠載入 ssl 憑證:
Port Service 30002 Avagent/MCS secure listening port (backup client)
本操作方法 kb 文章旨在說明在為用戶端註冊、備份和複製啟用工作階段安全性時,替換安全連接埠上認證機構的適當背景關係。
場景
第一種情況:
如果您要更換 Avamar Web 伺服器憑證,請參閱下列 KB 文章:
000198691 |Avamar 19.2+ :為 avinstaller、aam/flr/dtlt、mcsdk、rmi 和 apache aui
安裝簽署的 Web 伺服器憑證第二種情況:
如果您要更換用於備份/複製/註冊的憑證 (gsan/mc root ca):
請按照以下步驟,將 Avamar CA 更換為您自己的 CA。
工作階段安全性背景
從產品安全指南
工作階段安全功能
Avamar 工作階段安全性功能是由 Avamar 安裝、Avamar Virtual Edition (AVE) 組態、升級工作流程套裝及獨立工作階段安全性組態工作流程提供。
工作階段安全性功能包括 Avamar 系統程序之間通訊的安全性改善。
Avamar 系統會使用工作階段票證來保護 Avamar 系統程序之間的所有通訊。Avamar 系統程序接受來自其他 Avamar 系統程序的傳輸之前,需要有效的工作階段票證。
會話票證具有以下常規特徵:
- 會話票證經過加密和簽名以防止修改。
- 會議門票的有效期很短。
- 每個工作階段工單包含唯一的簽名,並僅分配給一個 Avamar 系統進程。
- 會話票證的完整性受加密保護。
每個 Avamar 系統節點會個別驗證工作階段工單簽名。
- 如果需要,會話可以延長到會話票證的壽命之外。
Avamar 伺服器驗證
安裝工作階段安全性功能後, Avamar 系統會以私人認證機構的身份 運作,並為 Avamar 系統產生唯一的伺服器憑證。
Avamar 系統會在每一個向 Avamar 伺服器註冊的 Avamar 用戶端上安裝伺服器憑證的公開金鑰。Avamar 用戶端使用公開金鑰來驗證來自 Avamar 系統的傳輸。
對於目前已註冊的用戶端,伺服器憑證的公開金鑰和其他必需的憑證檔案將在安裝後一小時內傳播到用戶端。Avamar 系統也會自動與 Avamar 儲存節點共用 Avamar Server 憑證。共用證書允許工具節點和存儲節點提供相同的證書進行身份驗證。
下面有一篇補充知識庫文章,其中包含有關會話安全性的詳細資訊:
000222278 |Avamar:工作階段安全性
檢查工作階段安全性設定
使用 ssh
登入 Avamar 伺服器 以 root 使用者身分執行下列命令:
enable_secure_config.sh --showconfig
如果任何設置返回 true,則啟用會話安全性。
如果您需要其他協助變更工作階段安全性設定,請參閱下列知識庫文章:
000222234 |Avamar:從 CLI
管理工作階段安全性設定000222279 |Avamar:使用 Avinstaller 安裝套裝 (AVP)
管理工作階段安全性設定註解
更換 Web 伺服器憑證與 gsan/mcs 根憑證之間的差異:
- 使用 aui 替換的 Web 伺服器證書。
- Web 伺服器證書可以使用公共或內部鏈式 CA。
- Web 伺服器證書使用相應的私鑰安裝葉/伺服器/最終實體證書。
- Web 伺服器憑證的伺服器憑證具有 CA 的基本約束:False 表示憑證無法用來發出其他下游 CA 憑證 (如其他中繼 CA)
- 在 Avamar Utility Node 上使用指令檔取代的 gsan/mcs 根憑證 importcert.sh。
gsan/mcs 根憑證是 CA 憑證,而非分葉/伺服器/終端實體。
GSAN/MCS 根憑證具有 CA 的基本約束:True
什麼是基本約束?
基本約束是 X.509 版本 3 證書擴展,用於標識證書持有者或消費者的類型。
如果證書是根 CA 或中間 CA,則應具有將 CA 布爾值設置為 True 的基本約束擴展。這將允許證書對其他證書和證書吊銷清單 (CRL) 進行簽名,驗證已頒發證書的簽名,並選擇性地對已頒發證書的配置設置限制或約束。
如果憑證是分葉/伺服器/終端實體憑證,則應具有 CA 布林值設為 False 的基本約束擴充功能。最終實體證書無法進一步簽署下游證書。
更換 GSAN/MC 根 CA 憑證時,會更換為另一個認證機構 (CA)。可能是內部的,因為沒有公開信任的 CA 會將其 CA 私鑰交給最終客戶。
將 Avamar CA 更換為使用者提供的 CA
的步驟1.準備根/中間憑證檔案:
- 私密金鑰:對應於能夠頒發證書的最下游 CA 證書的私鑰。
- 「伺服器」憑證:隱私增強郵件 (PEM) 格式的最下游 CA 證書,能夠頒發證書。
- 鏈證書:一個包含串聯 PEM 格式的中間/根 CA 證書的檔,以構建信任鏈。
2.以 root 使用者身分執行 importcert.sh 指令檔,以安裝新使用者提供的 CA:
importcert.sh <private key> <cert> <chain>指令檔將:
- 停止 MCS 和備份排程器。
- 驗證金鑰和證書匹配。
- 驗證鏈檔是否為證書構建信任鏈。
- 將檔案匯入 Avamar 金鑰存放區。
- 刷新 GSAN 證書。
- 啟動 MCS
- 嘗試重新註冊所有用戶端。
- 與數據域重新同步。
- 恢復備份計劃程式服務。
例
準備
了三個檔案 int_key.pem - PKCS1 格式
的內部中間 CA 私鑰 int_cert.crt - 內部中間 CA 憑證
root_ca.crt - 內部根 CA 憑證
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
安裝
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
安裝
後安裝指令檔完成後,可能需要手動重新註冊某些代理程式型用戶端和 VMware 代理。
如果您要檢查 Avamar 金鑰存放區的內容,以查看執行指令檔的結果,請執行下列命令:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)別名:
Mcrsaroot 應為具有基本約束 CA 的僅 CA 別名:實
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"例
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls 應為由使用者供應的下游 CA 核發給 Avamar 伺服器的完整鏈結終端實體憑證
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"例
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
如果您要驗證憑證是否已更換,您可以使用 openssl 以安全用戶端身分連線至 Avamar 工具節點,以取得 gsan/mcs/註冊連接埠的憑證內容。
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
故障診斷
如果在腳本期間遇到以下錯誤,則可能是由於嘗試安裝最終實體證書而不是能夠頒發證書的 CA。
5. Refresh tls cert Refresh tls ERROR
如果在指令檔順利完成後,Avamar Utility Node 上的連接埠 30002 仍顯示舊憑證,請重新啟動 Avagent。
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.