Avamar: La replica basata su plug-in ha esito negativo quando il certificato e la chiave non corrispondono
Summary: La replica basata su plug-in ha esito negativo quando il certificato e la chiave non corrispondono.
Symptoms
Si può osservare uno dei seguenti sintomi:
1. Durante la configurazione della replica basata su policy, "Verify Authentication" ha esito negativo quando si aggiunge un'altra griglia Avamar come destinazione di replica nell'interfaccia utente di
2. La replica basata su policy non viene eseguita. Il registro potrebbe mostrare il seguente messaggio di errore:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
In Avamar 7.3 o versioni successive, la replica basata su policy genera certificati per la connessione SSL tra il server di origine e quello di destinazione. Nell'utility node di origine, crea una cartella per ogni destinazione di replica:
/usr/local/avamar/etc/client/<replication target>
Ad esempio: /usr/local/avamar/etc/client/10.10.10.2
- Ogni volta che viene eseguito un processo di replica.
- Ogni volta che si seleziona "Verify Authentication" nell'interfaccia utente.
In alcune circostanze, tuttavia, Avamar non sovrascrive i file esistenti, causando una mancata corrispondenza tra cert.pem e key.pem, con conseguente errore di replica.
Resolution
1. Verificare che il problema sia un certificato e una chiave non corrispondenti effettuando le seguenti operazioni:
un. Accedere all'utility node Avamar come admin.
b. Eleva al privilegio root:
su -
c. Identificare la cartella in cui sono archiviati il certificato e la coppia di chiavi utilizzando il seguente comando:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
Nell'output precedente, dovrebbe essere presente una cartella con l'indirizzo IP della griglia di destinazione di replica.
Se sono presenti più destinazioni di replica, sono presenti più cartelle. Come mostrato qui, i partner di replica sono 10.10.1.2 e 192.168.76.50.
Per questo articolo, viene utilizzato come esempio 192.168.76.50.
d. Verificare che vi siano cert.pem e key.pem file:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Esempio di output:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Controllare i certificati e le chiavi:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Se i due valori precedenti NON corrispondono, il problema è confermato.
2. Una volta confermata la mancata corrispondenza, attenersi alla seguente procedura per rimuovere il vecchio e creare il nuovo certificato e la nuova chiave:
Rimuovere il certificato e la chiave precedenti:
un. Accedere all'utility node Avamar come admin.
b. Eleva al privilegio root:
su -
c. Creare una directory per eseguire il backup del certificato originale:
mkdir /tmp/certificatebackup
d. Eseguire il backup della directory contenente il certificato e la chiave:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Rimuovere i certificati precedenti:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Verificare che i certificati siano stati rimossi:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Generare un nuovo certificato e una nuova chiave:
Interfaccia utente di MCS:
un. Nell'interfaccia utente di MCS di Avamar Administrator, selezionare il programma di avvio "Data Movement Policy".
b. Selezionare la scheda "Destinations".
c. Evidenziare la destinazione richiesta.
d. Fare clic con il pulsante destro del mouse e selezionare "Modifica destinazione"
e. Senza apportare modifiche, cliccare su "Verify Authentication".
Se la verifica ha esito positivo, andare al passaggio 3. Se la verifica non riesce, contattare il supporto Dell Technologies Avamar per assistenza.
AUI:
un. In AUI, selezionare "System".
b. In "System", selezionare il programma di avvio "Replication Destination".
c. Selezionare il pulsante di opzione associato alla destinazione richiesta.
d. Fare clic su "Modifica".
e. Inserire le credenziali.
f. Fare clic su "Convalida":
Se la verifica ha esito positivo, andare al passaggio 3. Se la verifica non riesce, contattare il supporto Dell Technologies Avamar per assistenza.
3. Riprovare la replica per verificare che il problema sia stato risolto.
Se il problema persiste, creare uno swarm con il team SCR di Avamar per assistenza.