Avamar: Pluginbaseret replikering mislykkes, når certifikatet og nøglen ikke stemmer overens
Summary: Pluginbaseret replikering mislykkes, når certifikatet og nøglen ikke stemmer overens.
Symptoms
Et af følgende symptomer kan observeres:
1. Under konfigurationen af politikbaseret replikering mislykkes "Bekræft godkendelse", når der tilføjes et andet Avamar-gitter som replikeringsdestination i brugergrænsefladen.
2. Politikbaseret replikering kan ikke køre. Logfilen kan vise følgende fejlmeddelelse:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
I Avamar 7.3 eller nyere genererer politikbaseret replikering certifikater til SSL-forbindelse mellem kilde- og destinationsserveren. På kildeværktøjsnoden oprettes der en mappe til hvert replikeringsmål:
/usr/local/avamar/etc/client/<replication target>
F.eks.: /usr/local/avamar/etc/client/10.10.10.2
- Hver gang et replikeringsjob kører.
- Hver gang "Bekræft godkendelse" vælges i brugergrænsefladen.
I nogle tilfælde overskriver Avamar dog ikke de eksisterende filer, hvilket forårsager en cert.pem- og key.pem-uoverensstemmelse, hvilket resulterer i en replikeringsfejl.
Resolution
1. Bekræft, at problemet er et uoverensstemmende certifikat og en forkert nøgle ved at udføre følgende trin:
en. Log på Avamar Utility-noden som administrator.
b. Opgrader til rodprivilegium:
su -
c. Identificer den mappe, der gemmer certifikatet og nøgleparret ved hjælp af følgende kommando:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
I outputtet ovenfor skal der være en mappe med IP-adressen på replikeringsmålgitteret.
Hvis der er flere replikeringsmål, er der flere mapper. Som det ses her, er replikationspartnerne 10.10.1.2 og 192.168.76.50.
I denne artikel bruges 192.168.76.50 som eksempel.
d. Kontroller, at der er cert.pem og key.pem filer:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Eksempel på output:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Kontroller certifikater og nøgler:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Hvis de to værdier ovenfor IKKE stemmer overens, bekræftes problemet.
2. Når der er bekræftet en uoverensstemmelse, skal du udføre følgende trin for at fjerne det gamle og oprette det nye certifikat og den nye nøgle:
Fjern det gamle certifikat og den gamle nøgle:
en. Log på Avamar Utility-noden som administrator.
b. Opgrader til rodprivilegium:
su -
c. Opret en mappe til sikkerhedskopiering af det originale certifikat:
mkdir /tmp/certificatebackup
d. Sikkerhedskopier den mappe, der indeholder certifikatet og nøglen:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Fjern de gamle certifikater:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Kontroller, at certifikaterne er blevet fjernet:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Generer et nyt certifikat og en ny nøgle:
MCS-brugergrænseflade:
en. I Avamar Administrator MCS UI skal du vælge starteren "Data Movement Policy".
b. Vælg fanen "Destinationer".
c. Fremhæv den ønskede destination.
d. Højreklik og vælg "Rediger destination"
e. Klik på "Bekræft godkendelse" uden at foretage ændringer.
Hvis bekræftelsen lykkes, skal du gå til trin 3. Hvis bekræftelsen mislykkes, skal du kontakte Dell Technologies Avamar Support for at få hjælp.
AUI:
en. I AUI skal du vælge "System".
b. I "System" skal du vælge starteren "Replikeringsdestination".
c. Vælg den alternativknap, der er knyttet til den ønskede destination.
d. Klik på "Rediger".
e. Indtast legitimationsoplysningerne.
f. Klik på "Valider":
Hvis bekræftelsen lykkes, skal du gå til trin 3. Hvis bekræftelsen mislykkes, skal du kontakte Dell Technologies Avamar Support for at få hjælp.
3. Prøv replikering igen for at kontrollere, at problemet er løst.
Hvis problemet fortsætter, skal du oprette en sværm med Avamar SCR-teamet for at få hjælp.