Avamar: Sessiebeveiligingsinstellingen beheren met Avinstaller Installation Package (AVP)

Download Sessie Beveiliging AVP

Ga naar de volgende Dell productsupportkoppeling en meld u aan om downloads te bekijken.

Selecteer bijvoorbeeld de juiste Avamar-versie.



Zoek naar het workflowpakket voor beveiliging van Avamar sessies.




Pre-checks voor installatie

Het is raadzaam om het volgende uit te voeren voordat u het sessiebeveiligingsconfiguratiepakket uitvoert.

• Stop alle back-ups en replicatie, en zorg ervoor dat er geen onderhoud wordt uitgevoerd (checkpoint/hfscheck/garbage collection).
• Controleer of er een geldig controlepunt beschikbaar is op Avamar.

Sessiebeveiliging AVP

installerenNa het downloaden van het juiste sessiebeveiligingsconfiguratiepakket zijn er twee opties om het pakket te installeren om het te gebruiken.

Optie 1:
Verplaats het gedownloade pakket rechtstreeks naar de volgende map. De Avinstaller-service detecteert wijzigingen in de directory en begint automatisch het pakket in de pakketrepository te laden.
 

/data01/avamar/repo/packages/

Optie 2:
Ga naar de webservice van Avinstaller via de volgende link:
 

https://<avamar_server_ip_or_hostname>/avi

Ga naar de sectie Repository:



zoek op uw lokale computer naar het configuratiepakket Session Security.



Het pakket wordt verwerkt:



Zodra het klaar is, is de status "Geaccepteerd".



Ga naar het tabblad Maintenance om het pakket uit te voeren.




Beveiligingsinstellingen

voor sessies beherenSelecteer in het scherm "Installation Setup" het tabblad Security Settings en schakel het selectievakje "Show advanced settings" in.




Modus selecteren

Met de vervolgkeuzelijst "Client-Server Communication and Authentication Type" kunt u de vier ondersteunde sessiebeveiligingsmodi selecteren:

1. Disabled
2. Gemengd-Single
3. Geauthenticeerd-single
4. Authenticated-Dual

Als de instellingen worden gewijzigd, wordt MCS opnieuw opgestart als onderdeel van het uitvoeren van het pakket.

Zie voor meer informatie over de verschillende modi het volgende KB-artikel:

000222278 | Avamar: Sessiebeveiliging

Certificaten

genereren Er zijn twee selectieopties voor het genereren van certificaten:

1. Alleen servercertificaten genereren
   • Als u alleen deze optie selecteert, worden alleen de GSAN-servercertificaten opnieuw gegenereerd.
   • In de notitie van de AVP staat: "Maakt en propageert servercertificaten op de Avamar-server en storageknooppunten, die worden gebruikt voor server- en/of clientverificatie met behulp van het CA-certificaat dat in de keystore is geïnstalleerd."
   • Dit voert het volgende uit op de Avamar-server:
     • Voer het script voor de enable_secure_config.sh uit:

     • enable_secure_config.sh --certs

     • Dit voert het volgende uit:
       • Export Avamar internal root certificate from Avamar keystore:

       • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

       • Dit basiscertificaat wordt opgeslagen op de volgende locaties:

       • /home/admin/chain.pem
         /usr/local/avamar/etc/chain.pem

       • Vervolgens wordt het basiscertificaat in de avamar_keystore gebruikt om een nieuw certificaatsleutelpaar voor GSAN te ondertekenen en op te slaan op de volgende locaties:

       • mcrootca rsatls <nodename> <subject_alt_names>
         
         /home/admin/key.pem
         /home/admin/cert.pem
         /usr/local/avamar/etc/key.pem
         /usr/local/avamar/etc/cert.pem

       • Deze certificaten worden vervolgens doorgegeven aan storageknooppunten.
       • Ten slotte wordt de GSAN SSL-socket opnieuw geladen, zodat nieuwe verbindingen met poort 29000 de geregenereerde certificaten dienen.
   • Houd er rekening mee dat met deze selectie het interne Avamar-basiscertificaat niet wordt gewijzigd, waardoor geregistreerde clients, proxy's en Data Domain-systemen niet opnieuw hoeven te worden geregistreerd.
2. Alle nieuwe certificaten genereren
   • Als dit selectievakje is geselecteerd, wordt ook automatisch ook het selectievakje "Alleen servercertificaten genereren" ingeschakeld.
   • Dit heeft te maken met het proces dat plaatsvindt bij het genereren van alle nieuwe certificaten.
   • In de notitie van de AVP staat: "Maakt mcrootca opnieuw en genereert alle nieuwe root-, TLS- en EC-rootcertificaten."
   • Hiermee worden de volgende stappen uitgevoerd:
     • De interne Avamar-basiscertificaatautoriteit (CA) opnieuw genereren

       • mcrootca all

       • Dit vervangt de interne Avamar-basis-CA die is opgeslagen in de avamar_keystore

       • /usr/local/avamar/lib/avamar_keystore
         

       • Het interne Avamar-basiscertificaat kan worden bekeken met de volgende opdracht:

       • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

     • Genereer de GSAN-certificaten opnieuw zoals beschreven in 'Alleen servercertificaten genereren'
   • Met deze selectie moeten geregistreerde proxy's, clients en Data Domain-systemen opnieuw worden geregistreerd om de nieuwe Avamar-basiscertificeringsinstantie en een ondertekend certificaat van de Avamar MCS te verkrijgen, waardoor veilige wederzijdse TLS-communicatie met Avamar mogelijk is.
   • Als met deze selectie de procedure voor het vervangen van de interne Avamar-basis-CA door een door de gebruiker geleverde interne basis-CA eerder is gevolgd (met behulp van importcert.sh), wordt die configuratie gewist en worden intern vertrouwde zelfondertekende Avamar-certificaten gegenereerd. Zie de volgende KB voor meer informatie, 000204629 | Avamar: Avamar certificeringsinstantie (CA) installeren/vervangen door door de gebruiker geleverde certificeringsinstantie (CA).

Als u klaar bent, gaat u verder met het uitvoeren van het pakket.

Dit pakket kan een willekeurig aantal keren worden gebruikt, omdat het kan worden gebruikt om deze instellingen te configureren wanneer dat nodig is.