Avamar: A replicação baseada em plug-in falha quando o certificado e a chave são incompatíveis
Summary: A replicação baseada em plug-in falha quando o certificado e a chave são incompatíveis.
Symptoms
Um dos seguintes sintomas pode ser observado:
1. Durante a configuração da replicação baseada em política, "Verify Authentication" falha ao adicionar outra grade do Avamar como destino de replicação na interface do usuário do.
2. Falha na execução da replicação baseada em política. O log pode mostrar a seguinte mensagem de erro:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
No Avamar 7.3 ou posterior, a replicação baseada em políticas gera certificados para conexão SSL entre o servidor de origem e de destino. No nó do utilitário de origem, ele cria uma pasta para cada destino de replicação:
/usr/local/avamar/etc/client/<replication target>
Por exemplo: /usr/local/avamar/etc/client/10.10.10.2
- Sempre que um trabalho de replicação é executado.
- Sempre que "Verify Authentication" é selecionado na interface do usuário.
No entanto, em algumas circunstâncias, o Avamar não substitui os arquivos existentes, causando uma disparidade cert.pem e key.pem, resultando em uma falha de replicação.
Resolution
1. Confirme se o problema é uma chave e um certificado incompatíveis executando as seguintes etapas:
um. Faça log-in no Avamar Utility Node como administrador.
b. Elevar para privilégio root:
su -
c. Identifique a pasta que armazena o certificado e o par de chaves usando o seguinte comando:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
No resultado acima, deve haver uma pasta com o endereço IP da grade de destino de replicação.
Se houver vários destinos de replicação, haverá várias pastas. Como visto aqui, os parceiros de replicação são 10.10.1.2 e 192.168.76.50.
Para este artigo, 192.168.76.50 é usado como exemplo.
d. Verifique se existem cert.pem e key.pem limas:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Exemplo de resultado:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Verifique os certificados e as chaves:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Se os dois valores acima NÃO corresponderem, o problema será confirmado.
2. Depois que uma disparidade for confirmada, execute as seguintes etapas para remover a antiga e criar o novo certificado e a nova chave:
Remova o certificado e a chave antigos:
um. Faça log-in no Avamar Utility Node como administrador.
b. Elevar para privilégio root:
su -
c. Crie um diretório para fazer backup do certificado original:
mkdir /tmp/certificatebackup
d. Faça backup do diretório que contém o certificado e a chave:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Remova os certificados antigos:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Verifique se os certificados foram removidos:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Gere um novo certificado e uma chave:
IU do MCS:
um. Na interface do usuário do MCS do Avamar Administrator, selecione o iniciador "Data Movement Policy".
b. Selecione a guia "Destinos".
c. Destaque o destino requerido.
d. Clique com o botão direito do mouse e selecione "Editar destino"
e. Sem fazer alterações, clique em "Verify Authentication".
Se a verificação for bem-sucedida, vá para a etapa 3. Se a verificação falhar, entre em contato com o suporte do Dell Technologies Avamar para obter assistência.
AUI:
um. Na AUI, selecione "System".
b. Em "System", selecione o iniciador "Replication Destination".
c. Selecione o botão de opção associado ao destino requerido.
d. Clique em "Editar".
e. Digite as credenciais.
f. Clique em "Validar":
Se a verificação for bem-sucedida, vá para a etapa 3. Se a verificação falhar, entre em contato com o suporte do Dell Technologies Avamar para obter assistência.
3. Repita a replicação para verificar se o problema foi resolvido.
Se o problema persistir, crie um swarm com a equipe SCR do Avamar para obter assistência.