Avamar: Gerencie as configurações de segurança da sessão com o Avinstaller Installation Package (AVP)

Download da sessão de segurança AVP

Acesse o link de suporte ao produto Dell a seguir e faça log-in para visualizar os downloads.

Por exemplo, selecione a versão apropriada do Avamar.



Pesquise o pacote de fluxo de trabalho de configuração de segurança da sessão do Avamar.




Pré-verificações antes da instalação

É recomendável executar o seguinte antes de executar o pacote de configuração do Session Security.

• Interrompa todos os backups e a replicação e certifique-se de que nenhuma manutenção esteja em execução (checkpoint/hfscheck/coleta de lixo).
• Verifique se há um checkpoint válido disponível no Avamar.

Instalar sessão de segurança AVP

Depois de fazer download do pacote de configuração do Session Security apropriado, há duas opções para instalar o pacote e usá-lo.

Opção 1:
Mova diretamente o pacote baixado para o diretório a seguir. O serviço Avinstaller detecta alterações no diretório e começa a carregar automaticamente o pacote no repositório de pacotes.
 

/data01/avamar/repo/packages/

Opção 2:
Acesse o serviço da Web Avinstaller no seguinte link:
 

https://<avamar_server_ip_or_hostname>/avi

Vá para a seção Repository:



procure o pacote de configuração Session Security em sua máquina local.



O pacote processa:



Quando estiver pronto, o status será "Aceito".



Vá para a guia "Maintenance" para executar o pacote.




Gerenciar configurações de segurança da

sessãoNa tela "Installation Setup", selecione a guia Security Settings e marque a caixa de seleção "Show advanced settings".




Seleção

do modoA seleção da lista suspensa "Tipo de comunicação e autenticação client-servidor" permite a seleção dos quatro modos de segurança de sessão compatíveis:

1. Disabled
2. Single Misto
3. Autenticado-Único
4. Autenticada-dupla

Se as configurações forem alteradas, o MCS será reiniciado como parte da execução do pacote.

Para obter mais informações sobre os diferentes modos, consulte o seguinte artigo da base de conhecimento:

000222278 | Avamar: Segurança

da sessãoGerar certificados

Há duas opções de seleção para gerar certificados:

1. Gerar somente certificados de servidor
   • Quando selecionado isoladamente, ele só gera novamente os certificados do servidor GSAN.
   • A nota do AVP diz: "Cria e propaga certificados de servidor no Avamar Server e nos nós de armazenamento, a serem usados para autenticação de servidor e/ou client usando o certificado CA instalado no keystore".
   • Isso realiza o seguinte no Avamar Server:
     • Execute o script enable_secure_config.sh:

     • enable_secure_config.sh --certs

     • Isso realiza o seguinte:
       • Exporte o certificado raiz interno do Avamar do repositório de chaves do Avamar:

       • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

       • Esse certificado raiz é salvo nos seguintes locais:

       • /home/admin/chain.pem
         /usr/local/avamar/etc/chain.pem

       • Em seguida, o certificado raiz no avamar_keystore será usado para assinar um novo par de chaves de certificado para o GSAN e salvar nos seguintes locais:

       • mcrootca rsatls <nodename> <subject_alt_names>
         
         /home/admin/key.pem
         /home/admin/cert.pem
         /usr/local/avamar/etc/key.pem
         /usr/local/avamar/etc/cert.pem

       • Esses certificados são propagados para qualquer nó de armazenamento.
       • Por fim, o soquete SSL do GSAN é recarregado para que as novas conexões com a porta 29000 atendam aos certificados regenerados.
   • Observe que, com essa seleção, o certificado raiz interno do Avamar não é alterado, portanto , os clients registrados, os proxies e os sistemas Data Domain não precisarão se registrar novamente.
2. Gerar todos os novos certificados
   • Quando essa caixa de seleção é marcada, ela também marca automaticamente a caixa de seleção "Generate Server Certificates Only".
   • Isso ocorre devido ao processo que ocorre ao gerar todos os novos certificados.
   • A nota do AVP diz: "Recria mcrootca e gera todos os novos certificados raiz de raiz, TLS e EC."
   • Isso executa as seguintes etapas:
     • Regenerar a autoridade de certificação (CA) raiz interna do Avamar

       • mcrootca all

       • Isso substitui a CA raiz interna do Avamar armazenada no avamar_keystore

       • /usr/local/avamar/lib/avamar_keystore
         

       • O certificado raiz interno do Avamar pode ser visualizado com o seguinte comando:

       • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot

     • Gere novamente os certificados do GSAN conforme descrito em "Gerar somente certificados de servidor"
   • Com essa seleção, como a CA raiz interna do Avamar é regenerada, proxies, clients e sistemas Data Domain registrados devem ser registrados novamente para adquirir a nova CA raiz do Avamar e um certificado assinado do Avamar MCS, permitindo uma comunicação TLS mútua segura com o Avamar.
   • Com essa seleção, se o procedimento para substituir a CA raiz interna do Avamar por uma CA raiz interna fornecida pelo usuário tiver sido seguido anteriormente (usando importcert.sh), isso apagará essa configuração e gerará certificados autoassinados confiáveis internamente do Avamar. Consulte a seguinte base de conhecimento para obter mais informações, 000204629 | Avamar: Instale/substitua a autoridade de certificação (CA) do Avamar pela autoridade de certificação (CA) fornecida pelo usuário.

Quando estiver pronto, continue a executar o pacote.

Esse pacote pode ser usado inúmeras vezes, pois pode ser usado para definir essas configurações quando necessário.