Авамар: Реплікація на основі плагіна не вдається, якщо сертифікат і ключ не співпадають
Summary: Реплікація на основі плагіна зазнає невдачі, якщо сертифікат і ключ не співпадають.
Symptoms
Може спостерігатися один з таких симптомів:
1. Під час конфігурації реплікації на основі політик функція «Перевірити автентифікацію» не вдається під час додавання іншої сітки Avamar як місця призначення реплікації в інтерфейсі користувача.
2. Реплікація на основі політик не виконується. У журналі може з'явитися таке повідомлення про помилку:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
В Avamar 7.3 або новішої реплікація на основі політик генерує сертифікати для SSL-з'єднання між джерелом і цільовим сервером. На вихідному утиліті він створює папку для кожного об'єкта реплікації:
/usr/local/avamar/etc/client/<replication target>
Наприклад: /usr/local/avamar/etc/client/10.10.10.2
- Щоразу виконується завдання реплікації.
- Щоразу в інтерфейсі користувача вибирається «Перевірити автентифікацію».
Однак у деяких випадках Avamar не перезаписує існуючі файли, що спричиняє невідповідність cert.pem і key.pem, що призводить до збою реплікації.
Resolution
1. Переконайтеся, що проблема пов'язана з невідповідністю сертифіката та ключа, виконавши такі дії:
a. Увійдіть у вузол Avamar Utility Node як адміністратор.
b. Піднесіть до root-привілеїв:
su -
c. Визначте папку, в якій зберігається пара сертифіката та ключа, за допомогою такої команди:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
У виводі вище повинна бути папка з IP-адресою цільової сітки реплікації.
Якщо є кілька цілей реплікації, є кілька папок. Як видно тут, партнерами по реплікації є 10.10.1.2 і 192.168.76.50.
Для цієї статті як приклад використовується 192.168.76.50.
d. Переконайтеся, що є cert.pem і key.pem Файли:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
Приклад виведення:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e. Перевірте сертифікати та ключі:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f. Якщо два наведені вище значення НЕ СПІВПАДАЮТЬ, проблема підтверджується.
2. Як тільки невідповідність буде підтверджена, виконайте наступні дії, щоб видалити старий і створити новий сертифікат і ключ:
Видаліть старий сертифікат і ключ:
a. Увійдіть у вузол Avamar Utility Node як адміністратор.
b. Піднесіть до root-привілеїв:
su -
c. Створіть каталог для резервного копіювання оригінального сертифіката:
mkdir /tmp/certificatebackup
d. Створіть резервну копію каталогу, що містить сертифікат і ключ:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e. Видаліть старі сертифікати:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f. Переконайтеся, що сертифікати видалено.
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
Згенеруйте новий сертифікат і ключ:
Інтерфейс MCS:
a. В інтерфейсі Avamar Administrator MCS виберіть лаунчер «Політика переміщення даних».
b. Виберіть вкладку «Напрямки».
c. Виділіть потрібне місце призначення.
d. Клацніть правою кнопкою миші та виберіть «Редагувати місце призначення»
e. Не вносячи жодних змін, натисніть "Перевірити аутентифікацію".
Якщо перевірка пройшла успішно, перейдіть до кроку 3. Якщо перевірити не вдалося, зверніться по допомогу до служби підтримки Dell Technologies Avamar .
AUI:
a. У AUI вибираємо "Система".
b. У розділі «Система» виберіть програму запуску «Місце призначення».
c. Виберіть перемикач, пов'язаний з потрібним пунктом призначення.
d. Натисніть "Редагувати".
e. Введіть облікові дані.
f. Натисніть "Підтвердити":
Якщо перевірка пройшла успішно, перейдіть до кроку 3. Якщо перевірити не вдалося, зверніться по допомогу до служби підтримки Dell Technologies Avamar .
3. Повторіть спробу реплікації, щоб переконатися, що проблему вирішено.
Якщо проблема не зникає, створіть рій із командою Avamar SCR за допомогою.