Avamar: Plugin-basert replikering mislykkes når sertifikatet og nøkkelen ikke samsvarer
Summary: Plugin-basert replikering mislykkes når sertifikatet og nøkkelen ikke samsvarer.
Symptoms
Ett av følgende symptomer kan observeres:
1. Under konfigurasjonen av policybasert replikering mislykkes "Verify Authentication" når du legger til et annet Avamar-rutenett som et replikeringsmål i brukergrensesnittet.
2. Policybasert replikering kan ikke kjøres. Loggen kan vise følgende feilmelding:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
I Avamar 7.3 eller nyere genererer policybasert replikering sertifikater for SSL-tilkobling mellom kilde- og målserveren. På noden til kildeverktøyet opprettes det en mappe for hvert replikeringsmål:
/usr/local/avamar/etc/client/<replication target>
Eksempel: /usr/local/avamar/etc/client/10.10.10.2
- Hver gang en replikeringsjobb kjøres.
- Hver gang "Verify Authentication" velges i brukergrensesnittet.
I enkelte tilfeller overskriver imidlertid ikke Avamar de eksisterende filene, noe som fører til manglende samsvar mellom cert.pem og key.pem, noe som fører til en replikeringsfeil.
Resolution
1. Bekreft at problemet er et sertifikat og en nøkkel som ikke samsvarer, ved å utføre følgende trinn:
en. Logg på Avamar-verktøynoden som administrator.
b. Oppgrader til rotprivilegium:
su -
c. Identifiser mappen som lagrer sertifikatet og nøkkelparet ved hjelp av følgende kommando:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
I utdataene ovenfor skal det være en mappe med IP-adressen til replikasjonsmålrutenettet.
Hvis det finnes flere replikeringsmål, finnes det flere mapper. Som vist her, er replikeringspartnerne 10.10.1.2 og 192.168.76.50.
For denne artikkelen brukes 192.168.76.50 som eksempel.
d. Kontroller at det finnes cert.pem og key.pem Filer:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Eksempel på utdata:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Kontroller sertifikatene og nøklene:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Hvis de to verdiene ovenfor IKKE samsvarer, bekreftes problemet.
2. Når et avvik er bekreftet, utfører du følgende trinn for å fjerne det gamle og oppretter det nye sertifikatet og nøkkelen:
Fjern det gamle sertifikatet og nøkkelen:
en. Logg på Avamar-verktøynoden som administrator.
b. Oppgrader til rotprivilegium:
su -
c. Opprett en katalog for å sikkerhetskopiere det opprinnelige sertifikatet:
mkdir /tmp/certificatebackup
d. Sikkerhetskopier katalogen som inneholder sertifikatet og nøkkelen:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Fjern de gamle sertifikatene:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Kontroller at sertifikatene er fjernet:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Generer et nytt sertifikat og en ny nøkkel:
MCS-brukergrensesnitt:
en. I Avamar Administrator MCS UI velger du startprogrammet "Data Movement Policy".
b. Velg fanen "Destinasjoner".
c. Fremhev ønsket destinasjon.
d. Høyreklikk og velg "Rediger destinasjon"
e. Klikk på "Verify Authentication" uten å gjøre noen endringer.
Hvis bekreftelsen lykkes, går du til trinn 3. Hvis bekreftelsen mislykkes, kontakter du Dell Technologies Avamar-kundestøtte for å få hjelp.
AUI:
en. I AUI, velg "System".
b. I "System" velger du startprogrammet "Replication Destination".
c. Velg alternativknappen som er knyttet til ønsket destinasjon.
d. Klikk på "Rediger".
e. Angi legitimasjonen.
f. Klikk på "Valider":
Hvis bekreftelsen lykkes, går du til trinn 3. Hvis bekreftelsen mislykkes, kontakter du Dell Technologies Avamar-kundestøtte for å få hjelp.
3. Prøv replikering på nytt for å bekrefte at problemet er løst.
Hvis problemet vedvarer, oppretter du en sverm med Avamar SCR-teamet for å få hjelp.