Avamar. Репликация на основе подключаемого модуля завершается сбоем при несоответствии сертификата и ключа
Summary: Репликация на основе подключаемого модуля завершается сбоем при несоответствии сертификата и ключа.
Symptoms
Может наблюдаться один из следующих симптомов:
1. Во время настройки репликации на основе политик ошибка «Verify Authentication» завершается сбоем при добавлении другой сети Avamar Grid в качестве места назначения репликации в пользовательском интерфейсе.
2. Не удается выполнить репликацию на основе политик. В журнале может отображаться следующее сообщение об ошибке:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
В Avamar 7.3 или более поздней версии репликация на основе политик генерирует сертификаты для SSL-соединения между исходным и целевым серверами. На исходном служебном узле она создает папку для каждого целевого объекта репликации:
/usr/local/avamar/etc/client/<replication target>
Пример. /usr/local/avamar/etc/client/10.10.10.2
- При каждом выполнении задания репликации.
- Каждый раз, когда в пользовательском интерфейсе выбирается «Verify Authentication».
Однако в некоторых случаях Avamar не перезаписывает существующие файлы, что приводит к несовпадению cert.pem и key.pem, что приводит к сбою репликации.
Resolution
1. Убедитесь, что проблема заключается в несовпадающих сертификате и ключе, выполнив следующие действия.
a. Войдите в Avamar Utility Node в качестве администратора.
b. Повышение до привилегий root:
su -
c. Определите папку, в которой хранится пара сертификата и ключа, с помощью следующей команды:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
В приведенных выше выходных данных должна быть папка с IP-адресом целевой сети репликации.
При наличии нескольких целевых объектов репликации существует несколько папок. Как видно, партнерами репликации являются 10.10.1.2 и 192.168.76.50.
В этой статье в качестве примера используется 192.168.76.50.
d. Убедитесь в наличии cert.pem и key.pem Файлы:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Пример результата:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Проверьте сертификаты и ключи:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Если два вышеуказанных значения НЕ совпадают, проблема подтверждена.
2. После подтверждения несоответствия выполните следующие действия, чтобы удалить старый и создать новый сертификат и ключ.
Удалите старые сертификат и ключ:
a. Войдите в Avamar Utility Node в качестве администратора.
b. Повышение до привилегий root:
su -
c. Создайте каталог для резервного копирования исходного сертификата:
mkdir /tmp/certificatebackup
d. Создайте резервную копию каталога, содержащего сертификат и ключ:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Удалите старые сертификаты:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Убедитесь, что сертификаты удалены:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Создайте новый сертификат и ключ:
Пользовательский интерфейс MCS:
a. В пользовательском интерфейсе MCS администратора Avamar выберите средство запуска «Data Movement Policy».
b. Выберите вкладку «Destinations».
c. Выделите требуемое место назначения.
d. Щелкните правой кнопкой мыши и выберите «Редактировать место назначения».
e. Не внося никаких изменений, нажмите «Verify Authentication».
Если проверка выполнена успешно, перейдите к шагу 3. Если проверка не пройдена, обратитесь за помощью в службу поддержки Dell Technologies Avamar .
AUI:
a. В пользовательском интерфейсе выберите «System».
b. В разделе «System» выберите средство запуска «Replication Destination».
c. Выберите переключатель, связанный с требуемым адресатом назначения.
d. Нажмите «Редактировать».
e. Введите учетные данные.
f. Нажмите «Подтвердить»:
Если проверка выполнена успешно, перейдите к шагу 3. Если проверка не пройдена, обратитесь за помощью в службу поддержки Dell Technologies Avamar .
3. Повторите попытку репликации, чтобы убедиться, что проблема устранена.
Если проблема не будет устранена, создайте группу с группой SCR Avamar для получения помощи.