Avamar: Replikacja oparta na wtyczce kończy się niepowodzeniem, gdy certyfikat i klucz są niezgodne
Summary: Replikacja oparta na wtyczce kończy się niepowodzeniem, gdy certyfikat i klucz są niezgodne.
Symptoms
Można zaobserwować jeden z następujących objawów:
1. Podczas konfiguracji replikacji opartej na zasadach "Weryfikacja uwierzytelniania" kończy się niepowodzeniem podczas dodawania innej siatki Avamar jako miejsca docelowego replikacji w interfejsie użytkownika.
2. Nie można uruchomić replikacji opartej na zasadach. Dziennik może zawierać następujący komunikat o błędzie:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
W wersji Avamar 7.3 lub nowszej replikacja oparta na zasadach generuje certyfikaty dla połączenia SSL między serwerem źródłowym i docelowym. W węźle narzędzia źródłowego tworzony jest folder dla każdego obiektu docelowego replikacji:
/usr/local/avamar/etc/client/<replication target>
Na przykład: /usr/local/avamar/etc/client/10.10.10.2
- Za każdym razem, gdy uruchamiane jest zadanie replikacji.
- Za każdym razem, gdy w interfejsie użytkownika zostanie wybrana opcja "Verify Authentication".
Jednak w niektórych okolicznościach Avamar nie zastępuje istniejących plików, powodując niezgodność cert.pem i key.pem, co skutkuje niepowodzeniem replikacji.
Resolution
1. Potwierdź, że problem dotyczy niezgodności certyfikatu i klucza, wykonując następujące czynności:
a. Zaloguj się do węzła Avamar Utility Node jako administrator.
b. Podnieś poziom uprawnień do roota:
su -
c. Zidentyfikuj folder, w którym przechowywana jest certyfikat i para kluczy, używając następującego polecenia:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
W powyższych danych wyjściowych powinien znajdować się folder z adresem IP docelowej siatki replikacji.
Jeśli istnieje wiele obiektów docelowych replikacji, istnieje wiele folderów. Jak widać tutaj, partnerami replikacji są 10.10.1.2 i 192.168.76.50.
W tym artykule jako przykład użyto adresu 192.168.76.50.
d. Sprawdź, czy istnieją cert.pem i key.pem Pliki:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Przykładowe dane wyjściowe:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Sprawdź certyfikaty i klucze:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Jeśli dwie powyższe wartości NIE są zgodne, problem zostanie potwierdzony.
2. Po potwierdzeniu niezgodności wykonaj następujące czynności, aby usunąć stary certyfikat i utworzyć nowy certyfikat i klucz:
Usuń stary certyfikat i klucz:
a. Zaloguj się do węzła Avamar Utility Node jako administrator.
b. Podnieś poziom uprawnień do roota:
su -
c. Utwórz katalog, aby wykonać kopię zapasową oryginalnego certyfikatu:
mkdir /tmp/certificatebackup
d. Utwórz kopię zapasową katalogu zawierającego certyfikat i klucz:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Usuń stare certyfikaty:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Sprawdź, czy certyfikaty zostały usunięte:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Wygeneruj nowy certyfikat i klucz:
Interfejs użytkownika MCS:
a. W interfejsie MCS Avamar Administrator wybierz program uruchamiający "Data Movement Policy".
b. Wybierz kartę "Destinations".
c. Podświetl żądane miejsce docelowe.
d. Kliknij prawym przyciskiem myszy i wybierz opcję "Edytuj miejsce docelowe"
e. Nie wprowadzając żadnych zmian, kliknij opcję "Verify Authentication".
Jeśli weryfikacja zakończy się pomyślnie, przejdź do kroku 3. Jeśli weryfikacja zakończy się niepowodzeniem, skontaktuj się z działem pomocy technicznej Dell Technologies Avamar , aby uzyskać pomoc.
AUI:
a. W AUI wybierz opcję "System".
b. W obszarze "System" wybierz program uruchamiający "Replication Destination".
c. Wybierz przycisk radiowy skojarzony z żądanym miejscem docelowym.
d. Kliknij "Edytuj".
e. Wprowadź poświadczenia.
f. Kliknij przycisk "Validate":
Jeśli weryfikacja zakończy się pomyślnie, przejdź do kroku 3. Jeśli weryfikacja zakończy się niepowodzeniem, skontaktuj się z działem pomocy technicznej Dell Technologies Avamar , aby uzyskać pomoc.
3. Ponów próbę replikacji, aby upewnić się, że problem został rozwiązany.
Jeśli problem będzie się powtarzał, utwórz rój z zespołem Avamar SCR, aby uzyskać pomoc.