Avamar: Replikace na základě modulu plug-in selže, pokud se certifikát a klíč neshodují
Summary: Replikace na základě modulu plug-in selže, pokud se certifikát a klíč neshodují.
Symptoms
Může být pozorován jeden z následujících příznaků:
1. Během konfigurace replikace založené na zásadách selže možnost "Verify Authentication" při přidání další mřížky Avamar jako cíle replikace v uživatelském rozhraní.
2. Replikace založená na zásadách se nezdařila. V protokolu se může zobrazit následující chybová zpráva:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
V softwaru Avamar 7.3 nebo novějším generuje replikace na základě zásad certifikáty pro připojení SSL mezi zdrojovým a cílovým serverem. Ve zdrojovém uzlu nástroje vytvoří složku pro každý cíl replikace:
/usr/local/avamar/etc/client/<replication target>
Například: /usr/local/avamar/etc/client/10.10.10.2
- Při každém spuštění úlohy replikace.
- Pokaždé, když je v uživatelském rozhraní vybrána možnost "Verify Authentication".
V některých případech však software Avamar nepřepíše stávající soubory, což způsobí neshodu cert.pem a key.pem a následně selhání replikace.
Resolution
1. Ověřte, zda se jedná o neshodu certifikátu a klíče, provedením následujících kroků:
a. Přihlaste se k uzlu nástroje Avamar jako správce.
b. Zvýšení oprávnění na uživatele root:
su -
c. Pomocí následujícího příkazu určete složku, ve které je uložen certifikát a pár klíčů:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
Ve výše uvedeném výstupu by měla být složka s IP adresou cílové mřížky replikace.
Pokud existuje více cílů replikace, existuje více složek. Jak je vidět zde, partnerské servery pro replikaci jsou 10.10.1.2 a 192.168.76.50.
V tomto článku je jako příklad použit 192.168.76.50.
d. Ověřte, zda existují cert.pem a key.pem soubory:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Příklad výstupu:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Zkontrolujte certifikáty a klíče:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Pokud se dvě výše uvedené hodnoty NESHODUJÍ, problém je potvrzen.
2. Po potvrzení neshody proveďte následující kroky, odeberte starý a vytvořte nový certifikát a klíč:
Odeberte starý certifikát a klíč:
a. Přihlaste se k uzlu nástroje Avamar jako správce.
b. Zvýšení oprávnění na uživatele root:
su -
c. Vytvořte adresář pro zálohu původního certifikátu:
mkdir /tmp/certificatebackup
d. Zálohujte adresář obsahující certifikát a klíč:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Odeberte staré certifikáty:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Ověřte, zda byly certifikáty odebrány:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Vygenerujte nový certifikát a klíč:
Uživatelské rozhraní MCS:
a. V uživatelském rozhraní Avamar Administrator MCS vyberte spouštěč "Data Movement Policy".
b. Vyberte kartu "Destinations".
C. Zvýrazněte požadovaný cíl.
d. Klikněte pravým tlačítkem a vyberte "Upravit cíl"
e. Bez provedení jakýchkoli změn klikněte na "Verify Authentication".
Pokud ověření proběhne úspěšně, přejděte ke kroku 3. Pokud se ověření nezdaří, požádejte o pomoc podporu Dell Technologies Avamar .
AUI:
a. V AUI vyberte "System".
b. V části "System" vyberte spouštěč "Replication Destination".
C. Vyberte přepínač přidružený k požadovanému cíli.
d. Klikněte na "Upravit".
e. Zadejte přihlašovací údaje.
f. Klikněte na "Validate":
Pokud ověření proběhne úspěšně, přejděte ke kroku 3. Pokud se ověření nezdaří, požádejte o pomoc podporu Dell Technologies Avamar .
3. Opakujte replikaci a ověřte, zda byl problém vyřešen.
Pokud problém přetrvává, vytvořte hejno a požádejte o pomoc tým Avamar SCR.