Avamar: Die Plug-in-basierte Replikation schlägt fehl, wenn Zertifikat und Schlüssel nicht übereinstimmen

Es kann eines der folgenden Symptome beobachtet werden:

1. Während der Konfiguration der Policy-basierten Replikation schlägt "Authentifizierung überprüfen" fehl, wenn ein anderes Avamar Grid als Replikationsziel in der Benutzeroberfläche hinzugefügt wird.

2. Die Policy-basierte Replikation kann nicht ausgeführt werden. Im Protokoll wird möglicherweise die folgende Fehlermeldung angezeigt:

avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client" 
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent]  ERROR: <0001> sslcontext::loadCert  certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock

In Avamar 7.3 oder höher erzeugt die Policy-basierte Replikation Zertifikate für die SSL-Verbindung zwischen dem Quell- und dem Zielserver. Auf dem Quell-Utility-Node wird ein Ordner für jedes Replikationsziel erstellt:

/usr/local/avamar/etc/client/<replication target>

Zum Beispiel: /usr/local/avamar/etc/client/10.10.10.2

1. Vergewissern Sie sich, dass es sich bei dem Problem um ein nicht übereinstimmendes Zertifikat und einen nicht übereinstimmenden Schlüssel handelt, indem Sie die folgenden Schritte ausführen:

ein. Melden Sie sich beim Avamar Utility Node als Administrator an.

b. Erhöhen auf das Root-Recht:

su -

c. Identifizieren Sie den Ordner, in dem das Zertifikat und das Schlüsselpaar gespeichert sind, mit dem folgenden Befehl:

ls -l /usr/local/avamar/etc/ | grep ^d

drwx------ 2 root  root  4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root  root  4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm 
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root  root  4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server

In der obigen Ausgabe sollte ein Ordner mit der IP-Adresse des Replikationszielrasters vorhanden sein.

Wenn mehrere Replikationsziele vorhanden sind, gibt es mehrere Ordner. Wie hier dargestellt, sind die Replikationspartner 10.10.1.2 und 192.168.76.50.

Für diesen Artikel wird 192.168.76.50 als Beispiel verwendet.

d. Überprüfen Sie, ob cert.pem und key.pem Dateien:

ls -l /usr/local/avamar/etc/192.168.76.50/*.pem

Beispiel Ausgabe:

-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem 
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem 
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem

e. Überprüfen Sie die Zertifikate und Schlüssel:

openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5 

(stdin)= 2ba9eb24b22a0158ea4366e1971ad915

openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem

(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3

f. Wenn die beiden obigen Werte NICHT übereinstimmen, ist das Problem bestätigt.

2. Sobald eine Nichtübereinstimmung bestätigt wurde, führen Sie die folgenden Schritte aus, um das alte Zertifikat zu entfernen und das neue Zertifikat und den neuen Schlüssel zu erstellen:

Entfernen Sie das alte Zertifikat und den alten Schlüssel:

ein. Melden Sie sich beim Avamar Utility Node als Administrator an.

b. Erhöhen auf das Root-Recht:

su -

c. Erstellen Sie ein Verzeichnis, um das ursprüngliche Zertifikat zu sichern:

mkdir /tmp/certificatebackup

d. Sichern Sie das Verzeichnis, das das Zertifikat und den Schlüssel enthält:

cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/

e. Entfernen Sie die alten Zertifikate:

rm -f /usr/local/avamar/etc/192.168.76.50/*

f. Überprüfen Sie, ob die Zertifikate entfernt wurden:

ls -l /usr/local/avamar/etc/192.168.76.50

total 0

Erzeugen Sie ein neues Zertifikat und einen neuen Schlüssel:

MCS-Benutzeroberfläche:

ein. Wählen Sie in der Avamar Administrator MCS-Benutzeroberfläche das Startprogramm für "Data Movement Policy" aus.

b. Wählen Sie die Registerkarte "Ziele".

c. Markieren Sie das gewünschte Ziel.

d. Klicken Sie mit der rechten Maustaste und wählen Sie "Ziel bearbeiten"

e. Klicken Sie auf "Verify Authentication", ohne Änderungen vorzunehmen.

Wenn die Überprüfung erfolgreich ist, fahren Sie mit Schritt 3 fort. Wenn die Überprüfung fehlschlägt, wenden Sie sich an den Dell Technologies Avamar-Support , um Unterstützung zu erhalten.

AUI:

ein. Wählen Sie in der AUI "System" aus.

b. Wählen Sie unter "System" das Startprogramm für "Replication Destination" aus.

c. Wählen Sie das Optionsfeld aus, das dem gewünschten Ziel zugeordnet ist.

d. Klicken Sie auf "Bearbeiten".

e. Geben Sie die Zugangsdaten ein.

f. Klicken Sie auf "Validieren":

Wenn die Überprüfung erfolgreich ist, fahren Sie mit Schritt 3 fort. Wenn die Überprüfung fehlschlägt, wenden Sie sich an den Dell Technologies Avamar-Support , um Unterstützung zu erhalten.

3. Wiederholen Sie die Replikation, um zu überprüfen, ob das Problem behoben wurde. 

Wenn das Problem weiterhin besteht, erstellen Sie einen Schwarm mit dem Avamar SCR-Team, um Unterstützung anzufordern.