Avamar:當憑證與金鑰不相符時,外掛程式式複寫會失敗
Summary: 當憑證與金鑰不相符時,外掛程式式複寫會失敗。
Symptoms
可能會觀察到以下症狀之一:
1.在設定原則式複製期間,在 UI 中新增另一個 Avamar 格線作為複製目的地時,「驗證驗證」會失敗。
2.原則式複寫無法執行。記錄可能會顯示下列錯誤訊息:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
在 Avamar 7.3 或更新版本中,原則式複寫會為來源伺服器和目標伺服器之間的 SSL 連線產生憑證。在源工具節點上,它為每個複製目標創建一個資料夾:
/usr/local/avamar/etc/client/<replication target>
例如: /usr/local/avamar/etc/client/10.10.10.2
- 每次執行複寫工作時。
- 每次在 UI 中選取「驗證認證」 時
但是在某些情況下,Avamar 不會覆寫現有的檔案,導致 cert.pem 和 key.pem 不相符,導致複寫失敗。
Resolution
1.執行下列步驟,確認問題是憑證和金鑰不相符:
一個。以系統管理員身分登入 Avamar 工具節點。
b.提升至 root 權限:
su -
c.c. 使用以下命令識別儲存憑證和金鑰對的資料夾:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
在上面的輸出中,應該有一個資料夾,其中包含複製目標網格的IP位址。
如果有多個複寫目標,則代表有多個資料夾。如此處所示,複製夥伴為 10.10.1.2 和 192.168.76.50。
在本文中,我們使用 192.168.76.50 作為範例。
d. 驗證是否存在 cert.pem 和 key.pem 檔案:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
範例輸出:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e.檢查憑證和金鑰:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f.如果以上兩個值不相符,表示問題已確認。
2.確認不相符後,請執行下列步驟以移除舊的,並建立新的憑證和金鑰:
移除舊的憑證和金鑰:
一個。以系統管理員身分登入 Avamar 工具節點。
b.提升至 root 權限:
su -
c. 建立目錄以備份原始憑證:
mkdir /tmp/certificatebackup
d. 備份包含憑證和金鑰的目錄:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e.移除舊憑證:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f.確認憑證已移除:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
產生新的憑證和金鑰:
MCS UI:
一個。在 Avamar Administrator MCS UI 中 選取「資料移動原則」啟動器。
b.選取「Destinations」標籤
c. 突出顯示所需的目的地。
d. 右鍵按下並選擇“編輯目的地”
e.在不進行任何變更的情況下,按一下「Verify Authentication」
如果驗證成功,請前往步驟 3。如果驗證失敗,請 聯絡 Dell Technologies Avamar 支援 以取得協助。
AUI:
一個。在 AUI 中,選取「系統」。
b.在「System」中選取「Replication Destination」啟動器
c. 選擇與所需目標關聯的單選按鈕。
d. 按一下「編輯」。
e.輸入認證。
f. 按一下「驗證」:
如果驗證成功,請前往步驟 3。如果驗證失敗,請聯絡 Dell Technologies Avamar 支援 以取得協助。
3.重試複寫以驗證問題是否已解決。
如果問題仍然存在,請與 Avamar SCR 團隊建立群組以取得協助。