Avamar: Plugin-baserad replikering misslyckas när certifikatet och nyckeln inte matchar
Summary: Plugin-baserad replikering misslyckas när certifikatet och nyckeln är felmatchade.
Symptoms
Ett av följande symtom kan observeras:
1. Under konfigurationen av policybaserad replikering misslyckas "Verify Authentication" när ett annat Avamar-rutnät läggs till som replikeringsmål i användargränssnittet.
2. Det går inte att köra principbaserad replikering. Loggen kan visa följande felmeddelande:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
I Avamar 7.3 eller senare genererar policybaserad replikering certifikat för SSL-anslutning mellan käll- och målservern. På källverktygsnoden skapas en mapp för varje replikeringsmål:
/usr/local/avamar/etc/client/<replication target>
Till exempel: /usr/local/avamar/etc/client/10.10.10.2
- Varje gång ett replikeringsjobb körs.
- Varje gång "Verifiera autentisering" väljs i användargränssnittet.
I vissa fall skriver Avamar dock inte över de befintliga filerna, vilket orsakar ett cert.pem- och key.pem-matchningsfel, vilket resulterar i ett replikeringsfel.
Resolution
1. Bekräfta att problemet är ett inmatchat certifikat och en nyckel genom att utföra följande steg:
a. Logga in på Avamar-verktygsnoden som administratör.
b. Höj till root-privilegium:
su -
c. Identifiera mappen som lagrar certifikatet och nyckelparet med följande kommando:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
I utdata ovan ska det finnas en mapp med IP-adressen för replikeringsmålrutnätet.
Om det finns flera replikeringsmål finns det flera mappar. Som du ser här är replikeringspartnerna 10.10.1.2 och 192.168.76.50.
I den här artikeln används 192.168.76.50 som exempel.
d. Kontrollera att det finns cert.pem och key.pem filer:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Exempel på utdata:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Kontrollera certifikaten och nycklarna:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Om de två värdena ovan INTE matchar bekräftas problemet.
2. När ett matchningsfel har bekräftats utför du följande steg för att ta bort det gamla och skapa det nya certifikatet och nyckeln:
Ta bort det gamla certifikatet och nyckeln:
a. Logga in på Avamar-verktygsnoden som administratör.
b. Höj till root-privilegium:
su -
c. Skapa en katalog för att säkerhetskopiera det ursprungliga certifikatet:
mkdir /tmp/certificatebackup
d. Säkerhetskopiera katalogen som innehåller certifikatet och nyckeln:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Ta bort de gamla certifikaten:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Kontrollera att certifikaten har tagits bort:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Generera ett nytt certifikat och en ny nyckel:
MCS-gränssnitt:
a. I Avamar Administrator MCS-användargränssnittet väljer du startprogrammet "Data Movement Policy".
b. Välj fliken "Destinations".
c. Markera önskad destination.
d. Högerklicka och välj "Redigera destination"
e. Klicka på Verify Authentication utan att göra några ändringar.
Om verifieringen lyckas går du till steg 3. Kontakta Dell Technologies Avamar-support för hjälp om verifieringen misslyckas.
AUI:
a. I AUI väljer du "System".
b. I System väljer du startprogrammet Replication Destination.
c. Välj den alternativknapp som är kopplad till önskad destination.
d. Klicka på "Redigera".
e. Ange inloggningsuppgifterna.
f. Klicka på "Validate":
Om verifieringen lyckas går du till steg 3. Kontakta Dell Technologies Avamar-support för hjälp om verifieringen misslyckas.
3. Försök replikera igen för att kontrollera att problemet har lösts.
Om problemet kvarstår skapar du en flock med Avamar SCR-teamet för att få hjälp.