Avamar: La replicación basada en plug-ins falla cuando el certificado y la clave no coinciden
Summary: La replicación basada en plug-ins falla cuando el certificado y la clave no coinciden.
Symptoms
Se puede observar uno de los siguientes síntomas:
1. Durante la configuración de la replicación basada en políticas, "Verify Authentication" falla cuando se agrega otra cuadrícula de Avamar como destino de replicación en la interfaz de usuario.
2. La replicación basada en políticas no se puede ejecutar. El registro puede mostrar el siguiente mensaje de error:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
En Avamar 7.3 o posterior, la replicación basada en políticas genera certificados para la conexión SSL entre el servidor de origen y el de destino. En el nodo de utilidad de origen, crea una carpeta para cada destino de replicación:
/usr/local/avamar/etc/client/<replication target>
Por ejemplo: /usr/local/avamar/etc/client/10.10.10.2
- Cada vez que se ejecuta un trabajo de replicación.
- Cada vez que se selecciona "Verify Authentication" en la interfaz de usuario.
Sin embargo, en algunas circunstancias, Avamar no sobrescribe los archivos existentes, lo que provoca una incompatibilidad cert.pem y key.pem, lo que produce una falla de replicación.
Resolution
1. Confirme que el problema sea un certificado y una clave que no coinciden mediante los siguientes pasos:
un. Inicie sesión como administrador en Avamar Utility Node.
b. Elevación al privilegio raíz:
su -
c. Identifique la carpeta que almacena el certificado y el par de claves mediante el siguiente comando:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
En el resultado anterior, debe haber una carpeta con la dirección IP de la cuadrícula de destino de replicación.
Si hay varios destinos de replicación, hay varias carpetas. Como se muestra aquí, los partners de replicación son 10.10.1.2 y 192.168.76.50.
Para este artículo, se utiliza 192.168.76.50 como ejemplo.
d. Verificar que existan cert.pem y key.pem Archivos:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Ejemplo del mensaje de salida:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Compruebe los certificados y las claves:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Si los dos valores anteriores NO coinciden, se confirma el problema.
2. Una vez que se confirme una incompatibilidad, realice los siguientes pasos para eliminar el certificado y la clave antiguos y crear los nuevos:
Elimine el certificado y la clave anteriores:
un. Inicie sesión como administrador en Avamar Utility Node.
b. Elevación al privilegio raíz:
su -
c. Cree un directorio para respaldar el certificado original:
mkdir /tmp/certificatebackup
d. Respalde el directorio que contiene el certificado y la clave:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Elimine los certificados antiguos:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Verifique que los certificados se hayan eliminado:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Genere un certificado y una clave nuevos:
IU de MCS:
un. En la interfaz de usuario de MCS de Avamar Administrator, seleccione el iniciador "Data Movement Policy".
b. Seleccione la pestaña "Destinations".
c. Resalte el destino deseado.
d. Haga clic con el botón derecho y seleccione "Editar destino"
e. Sin realizar ningún cambio, haga clic en "Verify Authentication".
Si la verificación se realiza correctamente, vaya al paso 3. Si la verificación falla, comuníquese con el soporte de Avamar de Dell Technologies para obtener ayuda.
AUI:
un. En la AUI, seleccione "System".
b. En "System", seleccione el iniciador "Replication Destination".
c. Seleccione el botón de opción asociado con el destino deseado.
d. Haga clic en "Editar".
e. Ingrese las credenciales.
f. Haga clic en "Validar":
Si la verificación se realiza correctamente, vaya al paso 3. Si la verificación falla, comuníquese con el soporte de Avamar de Dell Technologies para obtener ayuda.
3. Vuelva a intentar la replicación para verificar que el problema se haya resuelto.
Si el problema persiste, cree un enjambre con el equipo de SCR de Avamar para obtener ayuda.