Avamar : La réplication basée sur des plug-ins échoue lorsque le certificat et la clé ne correspondent pas

L’un des symptômes suivants peut être observé :

1. Lors de la configuration de la réplication basée sur les règles, « Verify Authentication » échoue lors de l’ajout d’une autre grille Avamar en tant que destination de réplication dans l’interface utilisateur.

2. L’exécution de la réplication basée sur des règles échoue. Le journal peut afficher le message d’erreur suivant :

avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client" 
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent]  ERROR: <0001> sslcontext::loadCert  certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock

Dans Avamar 7.3 ou version supérieure, la réplication basée sur des règles génère des certificats pour la connexion SSL entre le serveur source et le serveur cible. Sur le nœud utilitaire source, il crée un dossier pour chaque cible de réplication :

/usr/local/avamar/etc/client/<replication target>

Par exemple : /usr/local/avamar/etc/client/10.10.10.2

1. Vérifiez que le problème provient d’une incompatibilité entre le certificat et la clé, en procédant comme suit :

un. Connectez-vous à Avamar Utility Node en tant qu’administrateur.

b. Élévation au niveau du privilège root :

su -

c. Identifiez le dossier qui stocke la paire certificat-clé à l’aide de la commande suivante :

ls -l /usr/local/avamar/etc/ | grep ^d

drwx------ 2 root  root  4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root  root  4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm 
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root  root  4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server

Dans la sortie ci-dessus, il doit y avoir un dossier avec l’adresse IP de la grille cible de réplication.

S’il existe plusieurs cibles de réplication, il existe plusieurs dossiers. Comme indiqué ici, les partenaires de réplication sont 10.10.1.2 et 192.168.76.50.

Pour cet article, l’exemple est 192.168.76.50.

d. Vérifiez qu’il n’y a pas de cert.pem et key.pem Fichiers:

ls -l /usr/local/avamar/etc/192.168.76.50/*.pem

Exemple de résultat :

-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem 
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem 
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem

e. Vérifiez les certificats et les clés :

openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5 

(stdin)= 2ba9eb24b22a0158ea4366e1971ad915

openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem

(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3

f. Si les deux valeurs ci-dessus ne correspondent pas, le problème est confirmé.

2. Une fois qu’une non-correspondance est confirmée, procédez comme suit pour supprimer l’ancien et créer le nouveau certificat et la nouvelle clé :

Supprimez l’ancien certificat et l’ancienne clé :

un. Connectez-vous à Avamar Utility Node en tant qu’administrateur.

b. Élévation au niveau du privilège root :

su -

c. Créez un répertoire pour sauvegarder le certificat d’origine :

mkdir /tmp/certificatebackup

d. Sauvegardez le répertoire contenant le certificat et la clé :

cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/

e. Supprimez les anciens certificats :

rm -f /usr/local/avamar/etc/192.168.76.50/*

f. Vérifiez que les certificats ont été supprimés :

ls -l /usr/local/avamar/etc/192.168.76.50

total 0

Générez un nouveau certificat et une nouvelle clé :

Interface utilisateur MCS :

un. Dans l’interface utilisateur du serveur MCS d’Avamar Administrator, sélectionnez le programme de lancement « Data Movement Policy ».

b. Sélectionnez l’onglet « Destinations ».

c. Mettez en surbrillance la destination requise.

d. Cliquez avec le bouton droit de la souris et sélectionnez « Modifier la destination »

e. Sans apporter de modifications, cliquez sur « Verify Authentication ».

Si la vérification réussit, passez à l’étape 3. Si la vérification échoue, contactez le support Dell Technologies Avamar pour obtenir de l’aide.

AUI:

un. Dans l’AUI, sélectionnez « System ».

b. Dans « System », sélectionnez le lanceur « Replication Destination ».

c. Sélectionnez le bouton radio associé à la destination requise.

d. Cliquez sur « Modifier ».

e. Saisissez les informations d’identification.

f. Cliquez sur « Valider » :

Si la vérification réussit, passez à l’étape 3. Si la vérification échoue, contactez le support Dell Technologies Avamar pour obtenir de l’aide.

3. Réessayez la réplication pour vérifier que le problème a été résolu. 

Si le problème persiste, créez un essaim avec l’équipe Avamar SCR pour obtenir de l’aide.