Avamar:当证书和密钥不匹配时,基于插件程序的复制将失败
Summary: 当证书和密钥不匹配时,基于插件程序的复制将失败。
Symptoms
可能会观察到以下症状之一:
1.在配置基于策略的复制期间,在 UI 中添加另一个 Avamar 网格作为复制目标时,“验证身份验证”失败。
2.基于策略的复制无法运行。日志可能会显示以下错误消息:
avagent Info <5008>: Logging to /usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log
avagent Info <19803>: Ignoring the --service flag.
avagent Info <5702>: Command Line: /usr/local/avamar/bin/avagent.bin --gencerts="true" --mcsaddr="targetgrid.avamar.com" --mcsport="28001" --conntimeout="120" --logfile="/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log" --debug="false" --sysdir="/usr/local/avamar/etc/client"
avagent Info <5703>: Parsed Flags: /usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=targetgrid.avamar.com --mcsport=28001 --conntimeout=120 --logfile=/usr/local/avamar/var/client/MOD-1476725811111-1008-Replicate-avagent.log --debug=false --sysdir=/usr/local/avamar/etc/client
[avagent] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=/usr/local/avamar/etc/client/10.1.2.3/cert.pem key=/usr/local/avamar/etc/client/10.1.2.3/key.pem
avagent Error <5664>: SSL certificate/key not found or invalid.
avagent Info <0000>: Checking for stale certificate lock
Cause
在 Avamar 7.3 或更高版本中,基于策略的复制会为源服务器和目标服务器之间的 SSL 连接生成证书。在源实用程序节点上,它会为每个复制目标创建一个文件夹:
/usr/local/avamar/etc/client/<replication target>
例如: /usr/local/avamar/etc/client/10.10.10.2
- 每次运行复制作业时。
- 每次在 UI 中选择“Verify Authentication”时。
但在某些情况下,Avamar 不会覆盖现有文件,这会导致 cert.pem 和 key.pem 不匹配,从而导致复制失败。
Resolution
1.通过执行以下步骤,确认问题是证书和密钥不匹配:
一个。以管理员身份登录到 Avamar 应用工具节点。
b.提升到 root 权限:
su -
c.c. 使用以下命令标识存储证书和密钥对的文件夹:
ls -l /usr/local/avamar/etc/ | grep ^d
drwx------ 2 root root 4096 Aug 22 13:28 10.10.10.2
drwx------ 2 root root 4096 Aug 22 13:28 192.168.76.50
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 admin
drwxr-xr-x 2 admin admin 4096 Jun 25 09:09 akm
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 avi
drwxr-xr-x 3 admin admin 4096 Jun 25 09:22 client
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 dtlt
drwxr-xr-x 5 root root 4096 Jun 13 02:37 gsan-maint-scripts
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 mcs
drwxr-xr-x 2 admin admin 4096 Apr 21 10:37 server
在上面的输出中,应该有一个文件夹,其中包含复制目标网格的 IP 地址。
如果有多个复制目标,则有多个文件夹。如此处所示,复制合作伙伴为 10.10.1.2 和 192.168.76.50。
本文以192.168.76.50为例。
d. 验证是否存在 cert.pem 和 key.pem 文件:
ls -l /usr/local/avamar/etc/192.168.76.50/*.pem
示例输出:
-rw-r--r-- 1 root root 2248 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/cert.pem
-rw-r--r-- 1 root root 1793 Jun 13 14:21 /usr/local/avamar/etc/192.168.76.50/chain.pem
-rw-r--r-- 1 root root 2484 Jun 13 08:55 /usr/local/avamar/etc/192.168.76.50/key.pem
e.检查证书和密钥:
openssl x509 -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/cert.pem | openssl md5
(stdin)= 2ba9eb24b22a0158ea4366e1971ad915
openssl rsa -noout -modulus -in /usr/local/avamar/etc/192.168.76.50/key.pem
(stdin)= b342ae5f5e044bbd8aff7d2dfb698bd3
f.如果上述值上的两个值不匹配,则确认问题。
2.确认不匹配后,执行以下步骤以删除旧证书和密钥,然后创建新证书和密钥:
删除旧证书和密钥:
一个。以管理员身份登录到 Avamar 应用工具节点。
b.提升到 root 权限:
su -
c.c. 创建目录以备份原始证书:c.c. Create a directory to backup the original certificate:
mkdir /tmp/certificatebackup
d.d. 备份包含证书和密钥的目录:
cp -p /usr/local/avamar/etc/192.168.76.50/* /tmp/certificatebackup/
e.删除旧证书:
rm -f /usr/local/avamar/etc/192.168.76.50/*
f.验证证书是否已删除:
ls -l /usr/local/avamar/etc/192.168.76.50
total 0
生成新证书和密钥:
MCS UI:
一个。在 Avamar Administrator MCS UI 中,选择“Data Movement Policy”启动程序。
b.选择“Destinations”选项卡。
c. 突出显示所需的目的地。
d. 右键单击并选择“编辑目标”
e.在不进行任何更改的情况下,单击“Verify Authentication”。
如果验证成功,请转至步骤 3。如果验证失败, 请联系 Dell Technologies Avamar 支持 以获得帮助。
AUI:
一个。在 AUI 中,选择“System”。
b.在“System”中,选择“Replication Destination”启动程序。
c.c. 选择与所需目标关联的单选按钮。
d. 单击“编辑”。
e.输入凭据。
f. 单击“Validate”:
如果验证成功,请转至步骤 3。如果验证失败,请联系 Dell Technologies Avamar 支持 以获得帮助。
3.重试复制以验证问题是否已解决。
如果问题仍然存在,请向 Avamar SCR 团队创建群以获得帮助。