Avamar: Instalace nebo výměna certifikační autority (CA) Avamar za certifikační autoritu (CA) dodanou uživatelem
Summary: Jak nahradit výchozí kořenové certifikační autority (CA) služby MCS (Management Console Service) podepsané svým držitelem za vlastní certifikační autoritu pro gsan/mcs/avagent.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Pozadí
Software Avamar zpřístupňuje několik portů s nainstalovanými certifikáty.
Webové servery v systému Avamar zpřístupňují následující porty s certifikáty SSL:
Pokud je povoleno zabezpečení relace, načítají certifikáty SSL následující porty:
Pokud je povoleno zabezpečení relace, načítají klienti zálohování certifikáty SSL na následujících portech:
Cílem tohoto článku znalostní databáze je popsat správný kontext, ve kterém lze nahradit certifikační autoritu na zabezpečených portech, které se používají, když je povoleno zabezpečení relace pro registraci, zálohování a replikaci klientů.
Scénáře
První scénář:
Pokud chcete nahradit certifikáty webového serveru Avamar, přečtěte si následující článek znalostní databáze:
000198691 | Avamar 19.2+ : Instalace podepsaných certifikátů webového serveru pro nástroje avinstaller, aam/flr/dtlt, mcsdk, rmi a apache aui
Druhý scénář:
Chcete-li nahradit certifikáty používané pro zálohování/replikaci/registraci (kořenová certifikační autorita gsan/mc):
Chcete-li nahradit certifikační autoritu Avamar svou vlastní certifikační autoritou, postupujte podle níže uvedených kroků.
Pozadí
zabezpečení relaceZ příručky
zabezpečení produktuFunkce
zabezpečení relaceFunkce zabezpečení relace Avamar jsou poskytovány instalací softwaru Avamar, konfigurací AVE (Avamar Virtual Edition), balíčky pracovního postupu upgradu a samostatným pracovním postupem konfigurace zabezpečení relace.
Mezi funkce zabezpečení relace patří vylepšení zabezpečení komunikace mezi systémovými procesy Avamar.
Systém Avamar zabezpečuje veškerou komunikaci mezi systémovými procesy Avamar pomocí lístků relace. Než systémový proces Avamar přijme přenos z jiného systémového procesu Avamar, je vyžadován platný lístek relace.
Lístky relace mají následující obecné charakteristiky:
- Lístek relace je zašifrován a podepsán, aby byl chráněn před úpravami.
- Vstupenka na sezení je krátkodobá.
- Každý ticket relace obsahuje jedinečný podpis a je přiřazen pouze k jednomu systémovému procesu Avamar.
- Integrita lístku relace je chráněna šifrováním.
- Každý systémový uzel Avamar samostatně ověřuje podpis lístku relace.
- Relaci lze v případě potřeby prodloužit i po dobu životnosti lístku relace.
Ověřování
serveru AvamarPo instalaci funkcí zabezpečení relace se systém Avamar chová jako soukromá certifikační autorita a generuje jedinečný certifikát serveru pro systém Avamar.
Systém Avamar nainstaluje veřejný klíč pro certifikát serveru do každého klienta Avamar, který je zaregistrován na serveru Avamar. Klienti Avamar používají veřejný klíč k ověření přenosů ze systému Avamar.
U klientů, kteří jsou aktuálně registrováni, se veřejný klíč pro certifikát serveru a další požadované soubory certifikátů přenesou do klienta do jedné hodiny od instalace.Systém Avamar také automaticky sdílí certifikát serveru Avamar s uzly úložiště Avamar. Sdílení certifikátu umožňuje uzlu utility a uzlům úložiště poskytovat stejný certifikát pro ověření.
Níže je uveden doplňkový článek znalostní databáze s dalšími informacemi o zabezpečení relací:
000222278 | Avamar: Zabezpečení
relaceKontrola nastavení
zabezpečení relacePřihlaste se k serveru Avamar pomocí ssh
Jako uživatel root spusťte následující příkaz:
Pokud se některé z nastavení vrátí true, je povoleno zabezpečení relace.
Pokud potřebujete další pomoc se změnou nastavení zabezpečení relace, přečtěte si následující články znalostní databáze:
000222234 | Avamar: Správa nastavení zabezpečení relace z rozhraní příkazového řádku
000222279 | Avamar: Správa nastavení zabezpečení relace pomocí instalačního balíčku Avinstaller (AVP)
Poznámky
Rozdíl mezi nahrazením certifikátů webového serveru a kořenových certifikátů GSAN/MCS:
- Certifikáty webového serveru nahrazeny pomocí aui.
- Certifikáty webového serveru mohou používat veřejnou nebo interní zřetězenou certifikační autoritu.
- Certifikáty webového serveru nainstalují certifikát listu/serveru/koncové entity s odpovídajícím privátním klíčem.
- Serverový certifikát certifikátu webového serveru má základní omezení CA: False, což znamená, že certifikát NELZE použít k vydávání dalších certifikátů podřízené certifikační autority (jako jiná zprostředkující certifikační autorita)
– kořenové certifikáty gsan/mcs nahrazené pomocí skriptu importcert.sh v uzlu nástroje Avamar.
- Kořenové certifikáty GSAN/MCS jsou certifikáty CA, NE list/server/koncová entita.
- Kořenové certifikáty gsan/mcs mají základní omezení CA: Pravda
: Co je základní omezení?
Základní omezení je rozšíření certifikátu X.509 verze 3 a slouží k identifikaci typu držitele certifikátu nebo subjektu.
Pokud je certifikát kořenovou certifikační autoritou nebo zprostředkující certifikační autoritou, očekává se, že bude mít rozšíření Basic Constraints s logickou hodnotou CA nastavenou na hodnotu True. To by certifikátu umožnilo podepisovat jiné certifikáty a seznam odvolaných certifikátů (CRL), ověřovat podpis vydaných certifikátů a volitelně nastavovat omezení nebo omezení konfigurace vystavených certifikátů.
Pokud je certifikát listový/serverový/koncovým certifikátem, očekává se, že bude mít rozšíření Basic Constraints s logickou hodnotou CA nastavenou na hodnotu False. Certifikát koncové entity nemůže podepisovat další podřízené certifikáty.
Při výměně certifikátů kořenové certifikační autority GSAN/MC jsou tyto certifikáty nahrazeny jinou certifikační autoritou (CA). Pravděpodobně interní, protože žádná veřejně důvěryhodná certifikační autorita by nikdy nepředala svůj soukromý klíč certifikační autority koncovému zákazníkovi.
Postup výměny certifikační autority Avamar za certifikační autoritu
dodanou uživatelem1. Příprava souborů kořenového/zprostředkujícího certifikátu:
-soukromý klíč: Soukromý klíč odpovídající nejvzdálenějšímu certifikátu certifikační autority, který má schopnost vystavovat certifikáty.
- Certifikát serveru: Certifikát certifikační autority ve formátu PEM (Privacy-Enhanced Mail), který má možnost vystavovat certifikáty.
- řetězový certifikát: jeden soubor obsahující zprostředkující/kořenové certifikáty certifikační autority ve formátu zřetězeného PEM pro vytvoření řetězu důvěryhodnosti.
2. Spuštěním skriptu importcert.sh jako uživatel root nainstalujte novou certifikační autoritu dodanou uživatelem:
MCS a plánovač zálohování.
- Ověřte, že se klíč a certifikát shodují.
- Ověřte, že soubor řetězu vytváří řetěz důvěryhodnosti pro certifikát.
- Importujte soubory do úložiště klíčů Avamar.
- Aktualizujte certifikáty GSAN.
- Spustit MCS
– Pokus o opětovnou registraci všech klientů.
- Opětovná synchronizace se systémem Data Domain.
- Obnovte službu plánování zálohování.
Příklad
Připraveny
tři soubory int_key.pem - privátní klíč interní zprostředkující CA ve formátu
PKCS1 int_cert.crt - certifikát
interní zprostředkující CA root_ca.crt - interní certifikát
kořenové CA int_key.pem
int_cert.crt
root_ca.crt
Instalace
Po instalaci
Po dokončení instalačního skriptu může být nutné ručně znovu zaregistrovat některé klienty založené na agentech a proxy VMware.
Chcete-li zkontrolovat obsah úložiště klíčů Avamar a zjistit výsledek spuštění skriptu, spusťte následující příkaz:
Mcrsaroot by měl být alias pouze certifikační autority se základním omezením CA: Pravdivý
McRsatls by měl být plně zřetězený certifikát koncové entity, vydaný serveru Avamar certifikační autoritou dodanou uživatelem.
Chcete-li ověřit, zda byly certifikáty nahrazeny, můžete se připojit k uzlu nástroje Avamar jako zabezpečený klient pomocí protokolu openssl a získat obsah certifikátu pro porty gsan/mcs/registration.
Software Avamar zpřístupňuje několik portů s nainstalovanými certifikáty.
Webové servery v systému Avamar zpřístupňují následující porty s certifikáty SSL:
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
Pokud je povoleno zabezpečení relace, načítají certifikáty SSL následující porty:
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
Pokud je povoleno zabezpečení relace, načítají klienti zálohování certifikáty SSL na následujících portech:
Port Service 30002 Avagent/MCS secure listening port (backup client)
Cílem tohoto článku znalostní databáze je popsat správný kontext, ve kterém lze nahradit certifikační autoritu na zabezpečených portech, které se používají, když je povoleno zabezpečení relace pro registraci, zálohování a replikaci klientů.
Scénáře
První scénář:
Pokud chcete nahradit certifikáty webového serveru Avamar, přečtěte si následující článek znalostní databáze:
000198691 | Avamar 19.2+ : Instalace podepsaných certifikátů webového serveru pro nástroje avinstaller, aam/flr/dtlt, mcsdk, rmi a apache aui
Druhý scénář:
Chcete-li nahradit certifikáty používané pro zálohování/replikaci/registraci (kořenová certifikační autorita gsan/mc):
Chcete-li nahradit certifikační autoritu Avamar svou vlastní certifikační autoritou, postupujte podle níže uvedených kroků.
Pozadí
zabezpečení relaceZ příručky
zabezpečení produktuFunkce
zabezpečení relaceFunkce zabezpečení relace Avamar jsou poskytovány instalací softwaru Avamar, konfigurací AVE (Avamar Virtual Edition), balíčky pracovního postupu upgradu a samostatným pracovním postupem konfigurace zabezpečení relace.
Mezi funkce zabezpečení relace patří vylepšení zabezpečení komunikace mezi systémovými procesy Avamar.
Systém Avamar zabezpečuje veškerou komunikaci mezi systémovými procesy Avamar pomocí lístků relace. Než systémový proces Avamar přijme přenos z jiného systémového procesu Avamar, je vyžadován platný lístek relace.
Lístky relace mají následující obecné charakteristiky:
- Lístek relace je zašifrován a podepsán, aby byl chráněn před úpravami.
- Vstupenka na sezení je krátkodobá.
- Každý ticket relace obsahuje jedinečný podpis a je přiřazen pouze k jednomu systémovému procesu Avamar.
- Integrita lístku relace je chráněna šifrováním.
- Každý systémový uzel Avamar samostatně ověřuje podpis lístku relace.
- Relaci lze v případě potřeby prodloužit i po dobu životnosti lístku relace.
Ověřování
serveru AvamarPo instalaci funkcí zabezpečení relace se systém Avamar chová jako soukromá certifikační autorita a generuje jedinečný certifikát serveru pro systém Avamar.
Systém Avamar nainstaluje veřejný klíč pro certifikát serveru do každého klienta Avamar, který je zaregistrován na serveru Avamar. Klienti Avamar používají veřejný klíč k ověření přenosů ze systému Avamar.
U klientů, kteří jsou aktuálně registrováni, se veřejný klíč pro certifikát serveru a další požadované soubory certifikátů přenesou do klienta do jedné hodiny od instalace.Systém Avamar také automaticky sdílí certifikát serveru Avamar s uzly úložiště Avamar. Sdílení certifikátu umožňuje uzlu utility a uzlům úložiště poskytovat stejný certifikát pro ověření.
Níže je uveden doplňkový článek znalostní databáze s dalšími informacemi o zabezpečení relací:
000222278 | Avamar: Zabezpečení
relaceKontrola nastavení
zabezpečení relacePřihlaste se k serveru Avamar pomocí ssh
Jako uživatel root spusťte následující příkaz:
enable_secure_config.sh --showconfig
Pokud se některé z nastavení vrátí true, je povoleno zabezpečení relace.
Pokud potřebujete další pomoc se změnou nastavení zabezpečení relace, přečtěte si následující články znalostní databáze:
000222234 | Avamar: Správa nastavení zabezpečení relace z rozhraní příkazového řádku
000222279 | Avamar: Správa nastavení zabezpečení relace pomocí instalačního balíčku Avinstaller (AVP)
Poznámky
Rozdíl mezi nahrazením certifikátů webového serveru a kořenových certifikátů GSAN/MCS:
- Certifikáty webového serveru nahrazeny pomocí aui.
- Certifikáty webového serveru mohou používat veřejnou nebo interní zřetězenou certifikační autoritu.
- Certifikáty webového serveru nainstalují certifikát listu/serveru/koncové entity s odpovídajícím privátním klíčem.
- Serverový certifikát certifikátu webového serveru má základní omezení CA: False, což znamená, že certifikát NELZE použít k vydávání dalších certifikátů podřízené certifikační autority (jako jiná zprostředkující certifikační autorita)
– kořenové certifikáty gsan/mcs nahrazené pomocí skriptu importcert.sh v uzlu nástroje Avamar.
- Kořenové certifikáty GSAN/MCS jsou certifikáty CA, NE list/server/koncová entita.
- Kořenové certifikáty gsan/mcs mají základní omezení CA: Pravda
: Co je základní omezení?
Základní omezení je rozšíření certifikátu X.509 verze 3 a slouží k identifikaci typu držitele certifikátu nebo subjektu.
Pokud je certifikát kořenovou certifikační autoritou nebo zprostředkující certifikační autoritou, očekává se, že bude mít rozšíření Basic Constraints s logickou hodnotou CA nastavenou na hodnotu True. To by certifikátu umožnilo podepisovat jiné certifikáty a seznam odvolaných certifikátů (CRL), ověřovat podpis vydaných certifikátů a volitelně nastavovat omezení nebo omezení konfigurace vystavených certifikátů.
Pokud je certifikát listový/serverový/koncovým certifikátem, očekává se, že bude mít rozšíření Basic Constraints s logickou hodnotou CA nastavenou na hodnotu False. Certifikát koncové entity nemůže podepisovat další podřízené certifikáty.
Při výměně certifikátů kořenové certifikační autority GSAN/MC jsou tyto certifikáty nahrazeny jinou certifikační autoritou (CA). Pravděpodobně interní, protože žádná veřejně důvěryhodná certifikační autorita by nikdy nepředala svůj soukromý klíč certifikační autority koncovému zákazníkovi.
Postup výměny certifikační autority Avamar za certifikační autoritu
dodanou uživatelem1. Příprava souborů kořenového/zprostředkujícího certifikátu:
-soukromý klíč: Soukromý klíč odpovídající nejvzdálenějšímu certifikátu certifikační autority, který má schopnost vystavovat certifikáty.
- Certifikát serveru: Certifikát certifikační autority ve formátu PEM (Privacy-Enhanced Mail), který má možnost vystavovat certifikáty.
- řetězový certifikát: jeden soubor obsahující zprostředkující/kořenové certifikáty certifikační autority ve formátu zřetězeného PEM pro vytvoření řetězu důvěryhodnosti.
2. Spuštěním skriptu importcert.sh jako uživatel root nainstalujte novou certifikační autoritu dodanou uživatelem:
importcert.sh <private key> <cert> <chain>Skript zastaví
MCS a plánovač zálohování.
- Ověřte, že se klíč a certifikát shodují.
- Ověřte, že soubor řetězu vytváří řetěz důvěryhodnosti pro certifikát.
- Importujte soubory do úložiště klíčů Avamar.
- Aktualizujte certifikáty GSAN.
- Spustit MCS
– Pokus o opětovnou registraci všech klientů.
- Opětovná synchronizace se systémem Data Domain.
- Obnovte službu plánování zálohování.
Příklad
Připraveny
tři soubory int_key.pem - privátní klíč interní zprostředkující CA ve formátu
PKCS1 int_cert.crt - certifikát
interní zprostředkující CA root_ca.crt - interní certifikát
kořenové CA int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
Instalace
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
Po instalaci
Po dokončení instalačního skriptu může být nutné ručně znovu zaregistrovat některé klienty založené na agentech a proxy VMware.
Chcete-li zkontrolovat obsah úložiště klíčů Avamar a zjistit výsledek spuštění skriptu, spusťte následující příkaz:
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)Aliasy:
Mcrsaroot by měl být alias pouze certifikační autority se základním omezením CA: Pravdivý
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Příklad:
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
McRsatls by měl být plně zřetězený certifikát koncové entity, vydaný serveru Avamar certifikační autoritou dodanou uživatelem.
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"Příklad:
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
Chcete-li ověřit, zda byly certifikáty nahrazeny, můžete se připojit k uzlu nástroje Avamar jako zabezpečený klient pomocí protokolu openssl a získat obsah certifikátu pro porty gsan/mcs/registration.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
Řešení problémů
Pokud během skriptu dojde k následující chybě, je to pravděpodobně způsobeno pokusem o instalaci certifikátu koncové entity namísto certifikační autority schopné vystavit certifikát.
5. Refresh tls cert Refresh tls ERROR
Pokud se po úspěšném dokončení skriptu na portu 30002 uzlu nástroje Avamar stále zobrazují staré certifikáty, restartujte Avagent.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.