Avamar: Administrar la configuración de seguridad de la sesión con el paquete de instalación de Avinstaller (AVP)

Descargar AVP

de seguridad de sesiónVaya al siguiente enlace de soporte de productos Dell e inicie sesión para ver las descargas.

Por ejemplo, seleccione la versión adecuada de Avamar.



Busque el paquete de flujo de trabajo de configuración de seguridad de sesiones de Avamar.




Comprobaciones previas antes de la instalación

Se recomienda realizar lo siguiente antes de ejecutar el paquete de configuración de seguridad de sesión.

• Detenga todos los respaldos y la replicación, y asegúrese de que no haya ningún mantenimiento en ejecución (punto de control/hfscheck/recolección de elementos no utilizados).
• Compruebe que haya un punto de control válido disponible en Avamar.

Instalar AVP

de seguridad de sesiónDespués de descargar el paquete de configuración de seguridad de sesión correspondiente, hay dos opciones para instalar el paquete a fin de usarlo.

Opción 1:
Mueva directamente el paquete descargado al siguiente directorio. El servicio Avinstaller detecta cambios en el directorio y comienza a cargar automáticamente el paquete en el repositorio de paquetes.
 

/data01/avamar/repo/packages/

Opción 2:
Vaya al servicio web de Avinstaller en el siguiente enlace:
 

https://<avamar_server_ip_or_hostname>/avi

Vaya a la sección Repositorio:



Examine la máquina local para obtener el paquete de configuración de seguridad de sesión.



El paquete procesa:



Una vez que está listo, el estado es "Aceptado".



Vaya a la pestaña "Maintenance" para ejecutar el paquete.




Administrar la configuración

de seguridad de la sesiónEn la pantalla "Installation Setup", seleccione la pestaña Security Settings y marque la casilla de verificación "Show advanced settings".




Selección

de modoLa selección desplegable "Tipo de autenticación y comunicación cliente-servidor" permite seleccionar los cuatro modos de seguridad de sesión compatibles:

1. Deshabilitado
2. Mixto-Sencillo
3. Autenticado: único
4. Autenticado: doble

Si se cambian los ajustes, MCS se reinicia como parte de la ejecución del paquete.

Para obtener más información sobre los diferentes modos, consulte el siguiente artículo de la base de conocimientos:

000222278 | Avamar: Seguridad de sesión

Generar certificadosHay dos opciones de

selección para generar certificados:

1. Generar certificados del servidor únicamente
   • Cuando se selecciona sola, solo regenera los certificados del servidor GSAN.
   • La nota del AVP dice: "Crea y propaga certificados de servidor en el servidor Avamar y los nodos de almacenamiento, que se utilizarán para la autenticación de servidores o clientes mediante el certificado de CA instalado en el almacén de claves".
   • Esto realiza lo siguiente en el servidor Avamar:
     • Ejecute el enable_secure_config.sh script:

     • enable_secure_config.sh --certs

     • Esto realiza lo siguiente:
       • Exporte el certificado raíz interno de Avamar desde el almacenamiento de claves de Avamar:

       • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

       • Este certificado raíz se guarda en las siguientes ubicaciones:

       • /home/admin/chain.pem
         /usr/local/avamar/etc/chain.pem

       • A continuación, el certificado raíz en el avamar_keystore se utilizará para firmar un nuevo par de claves de certificado para GSAN y guardarlo en las siguientes ubicaciones:

       • mcrootca rsatls <nodename> <subject_alt_names>
         
         /home/admin/key.pem
         /home/admin/cert.pem
         /usr/local/avamar/etc/key.pem
         /usr/local/avamar/etc/cert.pem

       • A continuación, estos certificados se propagan a cualquier nodo de almacenamiento.
       • Por último, el socket SSL de GSAN se vuelve a cargar para que las nuevas conexiones al puerto 29000 sirvan a los certificados regenerados.
   • Tenga en cuenta que con esta selección, el certificado raíz interno de Avamar no se cambia, por lo que los clientes registrados, los proxies y los sistemas Data Domain no tendrán que volver a registrarse.
2. Generar todos los certificados nuevos
   • Cuando se selecciona esta casilla de verificación, también selecciona automáticamente la casilla de verificación "Generate Server Certificates Only".
   • Esto se debe al proceso que se produce cuando se generan todos los certificados nuevos.
   • La nota del AVP dice: "Recrea mcrootca y genera todos los nuevos certificados raíz, TLS y raíz de EC".
   • Esto realiza los siguientes pasos:
     • Vuelva a generar la autoridad de certificación (CA) raíz interna de Avamar

       • mcrootca all

       • Esto reemplaza la CA raíz interna de Avamar almacenada en el avamar_keystore

       • /usr/local/avamar/lib/avamar_keystore
         

       • El certificado raíz interno de Avamar se puede ver con el siguiente comando:

       • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

     • Vuelva a generar los certificados de GSAN como se describe en "Generar certificados de servidor únicamente"
   • Con esta selección, dado que se regenera la CA raíz interna de Avamar, los proxies registrados, los clientes y los sistemas Data Domain se deben volver a registrar para adquirir la nueva CA raíz de Avamar y un certificado firmado de Avamar MCS, lo que permite una comunicación TLS mutua segura con Avamar.
   • Con esta selección, si se siguió anteriormente el procedimiento para reemplazar la CA raíz interna de Avamar por una CA raíz interna suministrada por el usuario (mediante importcert.sh), se borra esa configuración y se generan certificados autofirmados de confianza interna de Avamar. Consulte el siguiente artículo de la base de conocimientos para obtener más información, 000204629 | Avamar: Instale/reemplace la autoridad de certificación (CA) de Avamar por la autoridad de certificación (CA) suministrada por el usuario.

Cuando esté listo, continúe ejecutando el paquete.

Este paquete se puede utilizar cualquier cantidad de veces, ya que se puede utilizar para configurar estos ajustes cuando sea necesario.