Avamar: Verwalten von Sitzungssicherheitseinstellungen mit dem Avinstaller-Installationspaket (AVP)

Summary: In diesem Artikel wird gezeigt, wie Sie die Einstellungen für die Avamar-Sitzungssicherheit mithilfe des Avinstaller-Installationspakets (AVP) managen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

HINWEIS: Beim Ausführen von Session Security AVP kann das Verfahren MCS neu starten!

 
Sitzungssicherheits-AVP

herunterladenKlicken Sie auf den folgenden Dell Produktsupport-Link und melden Sie sich an , um Downloads anzuzeigen.

Wählen Sie beispielsweise die entsprechende Avamar-Version aus.

Bild

Suchen Sie nach dem Workflowpaket Avamar Session Security Configuration.

avamar_download.png


Vorabprüfungen vor der Installation

Es wird empfohlen, die folgenden Schritte durchzuführen, bevor Sie das Sicherheitskonfigurationspaket für die Sitzung ausführen.
  • Beenden Sie alle Backups und Replikationen und stellen Sie sicher, dass keine Wartung ausgeführt wird (Prüfpunkt/hfscheck/Garbage Collection).
  • Überprüfen Sie, ob ein gültiger Prüfpunkt auf Avamar verfügbar ist.


Sitzungssicherheits-AVP

installierenNach dem Herunterladen des entsprechenden Sitzungssicherheitskonfigurationspakets gibt es zwei Optionen zur Installation des Pakets, um es zu verwenden.

Möglichkeit 1:
Verschieben Sie das heruntergeladene Paket direkt in das folgende Verzeichnis. Der Avinstaller-Service erkennt Änderungen am Verzeichnis und beginnt mit dem automatischen Laden des Pakets in das Paket-Repository.
  
/data01/avamar/repo/packages/

Möglichkeit 2:
Rufen Sie den Avinstaller-Webservice unter dem folgenden Link auf:
  
https://<avamar_server_ip_or_hostname>/avi

Navigieren Sie zum Abschnitt Repository:
repository.png


Durchsuchen Sie Ihren lokalen Rechner nach dem Sitzungssicherheitskonfigurationspaket.

browse.png

Das Paket verarbeitet Folgendes:
processing.png


Sobald es bereit ist, ist der Status "Akzeptiert".

available.png

Wechseln Sie zur Registerkarte "Maintenance", um das Paket auszuführen.

start.png


Sitzungssicherheitseinstellungen

verwaltenWählen Sie auf dem Bildschirm "Installation Setup" die Registerkarte "Security Settings" und aktivieren Sie das Kontrollkästchen "Show advanced settings".

setup.png


Modusauswahl

Die Dropdown-Auswahl "Client-Server-Kommunikation und Authentifizierungstyp" ermöglicht die Auswahl der vier unterstützten Sitzungssicherheitsmodi:
  1. Deaktiviert
  2. Gemischt – Einzel
  3. Authentifiziert – Single
  4. Authentifiziert – Dual
Wenn die Einstellungen geändert werden, startet MCS im Rahmen der Ausführung des Pakets neu.

Weitere Informationen zu den verschiedenen Modi finden Sie im folgenden Wissensdatenbank-Artikel:

000222278 | Avamar: Sitzungssicherheit

Zertifikate

generieren Es gibt zwei Auswahlmöglichkeiten für die Generierung von Zertifikaten:
  1. Nur Serverzertifikate erzeugen
    • Bei alleiniger Auswahl werden nur die GSAN-Serverzertifikate neu erzeugt.
    • Der AVP-Hinweis lautet: "Erstellung und Weitergabe von Serverzertifikaten auf dem Avamar Server und den Storage Nodes zur Verwendung für die Server- und/oder Clientauthentifizierung mithilfe des im Keystore installierten CA-Zertifikats."
    • Dadurch werden die folgenden Schritte auf dem Avamar Server ausgeführt:
      • Führen Sie das enable_secure_config.sh Skript aus:
      • enable_secure_config.sh --certs
      • Dies führt die folgenden Schritte aus:
        • Exportieren Sie das interne Avamar-Stammzertifikat aus dem Avamar-Keystore:
        • keytool -export -rfc -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
        • Dieses Stammzertifikat wird an den folgenden Speicherorten gespeichert:
        • /home/admin/chain.pem
/usr/local/avamar/etc/chain.pem
        • Dann wird das Stammzertifikat im avamar_keystore verwendet, um ein neues Zertifikatschlüsselpaar für GSAN zu signieren und an den folgenden Speicherorten zu speichern:
        • mcrootca rsatls <nodename> <subject_alt_names>

/home/admin/key.pem
/home/admin/cert.pem
/usr/local/avamar/etc/key.pem
/usr/local/avamar/etc/cert.pem
        • Diese Zertifikate werden dann auf alle Speicher-Nodes propagiert.
        • Schließlich wird der GSAN-SSL-Socket neu geladen, sodass neue Verbindungen zu Port 29000 die neu generierten Zertifikate bereitstellen.
    • Beachten Sie, dass mit dieser Auswahl das interne Avamar-Stammzertifikat nicht geändert wird, sodass registrierte Clients, Proxys und Data Domain-Systeme nicht erneut registriert werden müssen.
  2. Erzeugen aller neuen Zertifikate
    • Wenn dieses Kontrollkästchen aktiviert ist, wird automatisch auch das Kontrollkästchen "Nur Serverzertifikate generieren" aktiviert.
    • Dies liegt an dem Prozess, der beim Generieren aller neuen Zertifikate stattfindet.
    • In der AVP-Notiz heißt es: "Erstellt mcrootca neu und erzeugt alle neuen Root-, TLS- und EC-Root-Zertifikate."
    • Dadurch werden die folgenden Schritte ausgeführt:
      • Die interne Stammzertifizierungsstelle (CA) von Avamar neu generieren 
        • mcrootca all
        • Dadurch wird die im avamar_keystore gespeicherte interne Avamar-Stammzertifizierungsstelle ersetzt
        • /usr/local/avamar/lib/avamar_keystore
        • Das interne Avamar-Stammzertifikat kann mit dem folgenden Befehl angezeigt werden:
        • keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -alias mcrsaroot
      • Erzeugen Sie die GSAN-Zertifikate erneut, wie unter "Nur Serverzertifikate erzeugen" beschrieben.
    • Bei dieser Auswahl müssen registrierte Proxys, Clients und Data Domain-Systeme erneut registriert werden , da die interne Avamar-Stammzertifizierungsstelle neu erstellt wird, um die neue Avamar-Stammzertifizierungsstelle und ein signiertes Zertifikat vom Avamar-MCS zu erhalten, das eine sichere gegenseitige TLS-Kommunikation mit Avamar ermöglicht.
    • Wenn bei dieser Auswahl das Verfahren zum Ersetzen der internen Avamar-Stammzertifizierungsstelle durch eine vom Nutzer bereitgestellte interne Stammzertifizierungsstelle befolgt wurde (mithilfe von importcert.sh), wird diese Konfiguration gelöscht und es werden intern vertrauenswürdige selbstsignierte Avamar-Zertifikate erzeugt. Weitere Informationen finden Sie im folgenden Wissensdatenbank-Artikel, 000204629 | Avamar: Installieren/ersetzen Sie die Avamar-Zertifizierungsstelle (CA) durch die vom Nutzer bereitgestellte Zertifizierungsstelle (CA).

Wenn Sie bereit sind, fahren Sie mit der Ausführung des Pakets fort.

Dieses Paket kann beliebig oft verwendet werden, da es verwendet werden kann, um diese Einstellungen bei Bedarf zu konfigurieren.

Affected Products

Avamar
Article Properties
Article Number: 000222279
Article Type: How To
Last Modified: 15 Dec 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.