Avamar: Avamar CA(Certificate Authority)를 사용자가 제공한 CA(Certificate Authority)로 설치 또는 교체
Summary: 기본 자체 서명된 MCS(Management Console Service) 루트 CA(Certificate Authority)를 gsan/mcs/avagent의 자체 CA로 교체하는 방법
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
배경
Avamar는 인증서가 설치된 여러 포트를 노출합니다.
Avamar의 웹 서버는 SSL 인증서와 함께 다음 포트를 노출합니다.
세션 보안이 활성화된 경우 다음 포트가 SSL 인증서를 로드합니다.
세션 보안이 활성화된 경우 백업 클라이언트는 다음 포트에서 SSL 인증서를 로드합니다.
이 방법 KB 문서는 클라이언트 등록, 백업 및 복제를 위해 세션 보안이 활성화될 때 사용되는 보안 포트에서 인증 기관을 교체하는 적절한 컨텍스트를 설명하는 것을 목표로 합니다.
시나리오
첫 번째 시나리오:
Avamar 웹 서버 인증서를 교체하려면 다음 KB 문서를 참조하십시오.
000198691 | Avamar 19.2+ : avinstaller, aam/flr/dtlt, mcsdk, rmi 및 apache aui
에 대해 서명된 웹 서버 인증서 설치두 번째 시나리오:
백업/복제/등록에 사용되는 인증서(gsan/mc root ca)를 교체하려는 경우:
아래 단계에 따라 Avamar CA를 자체 CA로 교체합니다.
세션 보안 배경
제품 보안 가이드
에서세션 보안 기능
Avamar 세션 보안 기능은 Avamar 설치, AVE(Avamar Virtual Edition) 구성, 업그레이드 워크플로 패키지 및 독립 실행형 세션 보안 구성 워크플로를 통해 제공됩니다.
세션 보안 기능에는 Avamar 시스템 프로세스 간의 통신에 대한 향상된 보안 기능이 포함되어 있습니다.
Avamar 시스템은 세션 티켓을 사용하여 Avamar 시스템 프로세스 간의 모든 통신을 보호합니다. Avamar 시스템 프로세스가 다른 Avamar 시스템 프로세스의 전송을 수락하려면 유효한 세션 티켓이 있어야 합니다.
세션 티켓의 일반적인 특징은 다음과 같습니다.
- 세션 티켓은 암호화되고 서명되어 수정을 방지합니다.
- 세션 티켓은 짧은 시간 동안 유효합니다.
- 각 세션 티켓에는 고유한 서명이 포함되어 있으며 하나의 Avamar 시스템 프로세스에만 할당됩니다.
- 세션 티켓의 무결성은 암호화로 보호됩니다.
- 각 Avamar 시스템 노드는 세션 티켓 서명을 개별적으로 확인합니다.
- 필요한 경우 세션 티켓의 수명을 초과하여 세션을 연장할 수 있습니다.
Avamar Server 인증
세션 보안 기능을 설치한 후 Avamar 시스템은 개인 인증 기관의 역할을 하며 Avamar 시스템에 대한 고유한 서버 인증서를 생성합니다.
Avamar 시스템은 Avamar Server에 등록된 모든 Avamar Client에 서버 인증서의 공개 키를 설치합니다. Avamar Client는 공개 키를 사용하여 Avamar 시스템의 전송을 인증합니다.
현재 등록된 클라이언트의 경우, 서버 인증서 및 기타 필수 인증서 파일의 공개 키가 설치 후 1시간 이내에 클라이언트에 전파됩니다.또한 Avamar 시스템은 Avamar Server 인증서를 Avamar 스토리지 노드와 자동으로 공유합니다. 인증서를 공유하면 유틸리티 노드와 스토리지 노드가 인증을 위해 동일한 인증서를 제공할 수 있습니다.
아래에 세션 보안에 대한 자세한 정보가 포함된 보충 KB 문서가 있습니다.
000222278 | Avamar: 세션 보안
세션 보안 설정
확인ssh
를 사용하여 Avamar Server에 로그인합니다. 루트 사용자로 다음 명령을 실행합니다.
설정 중 하나라도 true를 반환하면 세션 보안이 활성화됩니다.
세션 보안 설정을 변경하는 데 도움이 더 필요한 경우 다음 KB 문서를 참조하십시오.
000222234 | Avamar: CLI
에서 세션 보안 설정 관리000222279 | Avamar: AVP(Avinstaller Installation Package)
를 사용하여 세션 보안 설정 관리노트
웹 서버 인증서 교체와 gsan/mcs 루트 인증서 교체의 차이점:
- aui를 사용하여 웹 서버 인증서가 대체되었습니다.
- 웹 서버 인증서는 공용 또는 내부 체인 CA를 사용할 수 있습니다.
- 웹 서버 인증서는 해당 개인 키를 사용하여 리프/서버/최종 엔터티 인증서를 설치합니다.
- 웹 서버 인증서의 서버 인증서에 CA의 기본 제약 조건이 있습니다. 거짓이며 인증서를 추가 다운스트림 CA 인증서(예: 다른 중간 CA)
를 발급하는 데 사용할 수 없음을 나타냅니다. gsan/mcs 루트 인증서는 Avamar Utility Node에서 importcert.sh 스크립트를 사용하여 대체되었습니다.
- gsan/mcs 루트 인증서는 리프/서버/엔드 엔티티가 아닌 CA 인증서입니다.
- gsan/mcs 루트 인증서에는 CA의 기본 제약 조건이 있습니다. True
기본 제약 조건이란 무엇입니까?
기본 제약 조건은 X.509 버전 3 인증서 확장이며 인증서 소유자 또는 주체의 유형을 식별하는 데 사용됩니다.
인증서가 루트 CA 또는 중간 CA인 경우 CA 부울이 True로 설정된 기본 제약 조건 확장이 있어야 합니다. 이렇게 하면 인증서가 다른 인증서 및 CRL(인증서 해지 목록)에 서명하고, 발급된 인증서의 서명에 유효성을 검사하고, 필요에 따라 발급된 인증서의 구성에 대한 제한 또는 제약 조건을 설정할 수 있습니다.
인증서가 리프/서버/최종 엔터티 인증서인 경우 CA 부울이 False로 설정된 기본 제약 조건 확장이 있어야 합니다. 최종 엔터티 인증서는 추가 다운스트림 인증서에 서명할 수 없습니다.
GSAN/MC 루트 CA 인증서를 교체할 때 다른 CA(Certificate Authority)로 교체됩니다. 공개적으로 신뢰할 수 있는 CA는 CA 개인 키를 최종 고객에게 넘겨주지 않으므로 내부적일 가능성이 높습니다.
Avamar CA를 사용자가 제공한 CA
로 교체하는 단계1. 루트/중간 인증서 파일을 준비합니다.
- 개인 키: 인증서를 발급할 수 있는 최하위 CA 인증서에 해당하는 개인 키입니다.
- '서버' 인증서: 인증서를 발급할 수 있는 PEM(Privacy-Enhanced Mail) 형식의 추가 다운스트림 CA 인증서입니다.
- 체인 인증서: 신뢰 체인을 구축하기 위해 연결된 PEM 형식의 중간/루트 CA 인증서를 포함하는 하나의 파일입니다.
2. 루트 사용자로 importcert.sh 스크립트를 실행하여 새 사용자가 제공한 CA를 설치합니다.
- MCS 및 백업 스케줄러를 중지합니다.
- 키와 인증서가 일치하는지 확인합니다.
- 체인 파일이 인증서에 대한 신뢰 체인을 구축하는지 확인합니다.
- 파일을 Avamar 키 저장소로 가져옵니다.
- GSAN 인증서를 새로 고칩니다.
- MCS
시작 - 모든 클라이언트를 다시 등록하려고 시도합니다.
- Data Domain과 다시 동기화합니다.
- 백업 스케줄러 서비스를 재개합니다.
본보기
int_key.pem - PKCS1 형식의
내부 중간 CA 개인 키int_cert.crt - 내부 중간 CA 인증서
root_ca.crt - 내부 루트 CA 인증서
int_key.pem
int_cert.crt
root_ca.crt
설치
설치
후설치 스크립트가 완료되면 일부 에이전트 기반 클라이언트 및 VMware 프록시를 수동으로 다시 등록해야 할 수 있습니다.
Avamar 키 저장소의 내용을 확인하여 스크립트 실행 결과를 보려면 다음 명령을 실행합니다.
Mcrsaroot는 기본 제약 조건 CA가 있는 CA 전용 별칭이어야 합니다. 참
Mcrsatls는 사용자가 제공한 다운스트림 CA가 Avamar Server에 발급한 전체 체인 최종 엔터티 인증서여야 합니다.
인증서가 교체되었는지 검증하려는 경우 openssl을 사용하여 보안 클라이언트로 Avamar Utility Node에 연결하여 gsan/mcs/registration 포트의 인증서 내용을 가져올 수 있습니다.
Avamar는 인증서가 설치된 여러 포트를 노출합니다.
Avamar의 웹 서버는 SSL 인증서와 함께 다음 포트를 노출합니다.
Port Service 7778 Java Remote Method Invocation (RMI) 7779 Java Remote Method Invocation (RMI) 7780 Java Remote Method Invocation (RMI) 7781 Java Remote Method Invocation (RMI) 443 Apache Webserver 9443 MCSDK (MCS Developer Kit SOAP API) 8543 Tomcat/DTLT/EMT 7543 Avinstaller/Jetty
세션 보안이 활성화된 경우 다음 포트가 SSL 인증서를 로드합니다.
Port Service 29000 GSAN secure listening port 30001 Avagent/MCS secure registration port 30002 Avagent/MCS secure port (when replication destination is configured) 30003 Avagent/MCS secure registration port
세션 보안이 활성화된 경우 백업 클라이언트는 다음 포트에서 SSL 인증서를 로드합니다.
Port Service 30002 Avagent/MCS secure listening port (backup client)
이 방법 KB 문서는 클라이언트 등록, 백업 및 복제를 위해 세션 보안이 활성화될 때 사용되는 보안 포트에서 인증 기관을 교체하는 적절한 컨텍스트를 설명하는 것을 목표로 합니다.
시나리오
첫 번째 시나리오:
Avamar 웹 서버 인증서를 교체하려면 다음 KB 문서를 참조하십시오.
000198691 | Avamar 19.2+ : avinstaller, aam/flr/dtlt, mcsdk, rmi 및 apache aui
에 대해 서명된 웹 서버 인증서 설치두 번째 시나리오:
백업/복제/등록에 사용되는 인증서(gsan/mc root ca)를 교체하려는 경우:
아래 단계에 따라 Avamar CA를 자체 CA로 교체합니다.
세션 보안 배경
제품 보안 가이드
에서세션 보안 기능
Avamar 세션 보안 기능은 Avamar 설치, AVE(Avamar Virtual Edition) 구성, 업그레이드 워크플로 패키지 및 독립 실행형 세션 보안 구성 워크플로를 통해 제공됩니다.
세션 보안 기능에는 Avamar 시스템 프로세스 간의 통신에 대한 향상된 보안 기능이 포함되어 있습니다.
Avamar 시스템은 세션 티켓을 사용하여 Avamar 시스템 프로세스 간의 모든 통신을 보호합니다. Avamar 시스템 프로세스가 다른 Avamar 시스템 프로세스의 전송을 수락하려면 유효한 세션 티켓이 있어야 합니다.
세션 티켓의 일반적인 특징은 다음과 같습니다.
- 세션 티켓은 암호화되고 서명되어 수정을 방지합니다.
- 세션 티켓은 짧은 시간 동안 유효합니다.
- 각 세션 티켓에는 고유한 서명이 포함되어 있으며 하나의 Avamar 시스템 프로세스에만 할당됩니다.
- 세션 티켓의 무결성은 암호화로 보호됩니다.
- 각 Avamar 시스템 노드는 세션 티켓 서명을 개별적으로 확인합니다.
- 필요한 경우 세션 티켓의 수명을 초과하여 세션을 연장할 수 있습니다.
Avamar Server 인증
세션 보안 기능을 설치한 후 Avamar 시스템은 개인 인증 기관의 역할을 하며 Avamar 시스템에 대한 고유한 서버 인증서를 생성합니다.
Avamar 시스템은 Avamar Server에 등록된 모든 Avamar Client에 서버 인증서의 공개 키를 설치합니다. Avamar Client는 공개 키를 사용하여 Avamar 시스템의 전송을 인증합니다.
현재 등록된 클라이언트의 경우, 서버 인증서 및 기타 필수 인증서 파일의 공개 키가 설치 후 1시간 이내에 클라이언트에 전파됩니다.또한 Avamar 시스템은 Avamar Server 인증서를 Avamar 스토리지 노드와 자동으로 공유합니다. 인증서를 공유하면 유틸리티 노드와 스토리지 노드가 인증을 위해 동일한 인증서를 제공할 수 있습니다.
아래에 세션 보안에 대한 자세한 정보가 포함된 보충 KB 문서가 있습니다.
000222278 | Avamar: 세션 보안
세션 보안 설정
확인ssh
를 사용하여 Avamar Server에 로그인합니다. 루트 사용자로 다음 명령을 실행합니다.
enable_secure_config.sh --showconfig
설정 중 하나라도 true를 반환하면 세션 보안이 활성화됩니다.
세션 보안 설정을 변경하는 데 도움이 더 필요한 경우 다음 KB 문서를 참조하십시오.
000222234 | Avamar: CLI
에서 세션 보안 설정 관리000222279 | Avamar: AVP(Avinstaller Installation Package)
를 사용하여 세션 보안 설정 관리노트
웹 서버 인증서 교체와 gsan/mcs 루트 인증서 교체의 차이점:
- aui를 사용하여 웹 서버 인증서가 대체되었습니다.
- 웹 서버 인증서는 공용 또는 내부 체인 CA를 사용할 수 있습니다.
- 웹 서버 인증서는 해당 개인 키를 사용하여 리프/서버/최종 엔터티 인증서를 설치합니다.
- 웹 서버 인증서의 서버 인증서에 CA의 기본 제약 조건이 있습니다. 거짓이며 인증서를 추가 다운스트림 CA 인증서(예: 다른 중간 CA)
를 발급하는 데 사용할 수 없음을 나타냅니다. gsan/mcs 루트 인증서는 Avamar Utility Node에서 importcert.sh 스크립트를 사용하여 대체되었습니다.
- gsan/mcs 루트 인증서는 리프/서버/엔드 엔티티가 아닌 CA 인증서입니다.
- gsan/mcs 루트 인증서에는 CA의 기본 제약 조건이 있습니다. True
기본 제약 조건이란 무엇입니까?
기본 제약 조건은 X.509 버전 3 인증서 확장이며 인증서 소유자 또는 주체의 유형을 식별하는 데 사용됩니다.
인증서가 루트 CA 또는 중간 CA인 경우 CA 부울이 True로 설정된 기본 제약 조건 확장이 있어야 합니다. 이렇게 하면 인증서가 다른 인증서 및 CRL(인증서 해지 목록)에 서명하고, 발급된 인증서의 서명에 유효성을 검사하고, 필요에 따라 발급된 인증서의 구성에 대한 제한 또는 제약 조건을 설정할 수 있습니다.
인증서가 리프/서버/최종 엔터티 인증서인 경우 CA 부울이 False로 설정된 기본 제약 조건 확장이 있어야 합니다. 최종 엔터티 인증서는 추가 다운스트림 인증서에 서명할 수 없습니다.
GSAN/MC 루트 CA 인증서를 교체할 때 다른 CA(Certificate Authority)로 교체됩니다. 공개적으로 신뢰할 수 있는 CA는 CA 개인 키를 최종 고객에게 넘겨주지 않으므로 내부적일 가능성이 높습니다.
Avamar CA를 사용자가 제공한 CA
로 교체하는 단계1. 루트/중간 인증서 파일을 준비합니다.
- 개인 키: 인증서를 발급할 수 있는 최하위 CA 인증서에 해당하는 개인 키입니다.
- '서버' 인증서: 인증서를 발급할 수 있는 PEM(Privacy-Enhanced Mail) 형식의 추가 다운스트림 CA 인증서입니다.
- 체인 인증서: 신뢰 체인을 구축하기 위해 연결된 PEM 형식의 중간/루트 CA 인증서를 포함하는 하나의 파일입니다.
2. 루트 사용자로 importcert.sh 스크립트를 실행하여 새 사용자가 제공한 CA를 설치합니다.
importcert.sh <private key> <cert> <chain>스크립트:
- MCS 및 백업 스케줄러를 중지합니다.
- 키와 인증서가 일치하는지 확인합니다.
- 체인 파일이 인증서에 대한 신뢰 체인을 구축하는지 확인합니다.
- 파일을 Avamar 키 저장소로 가져옵니다.
- GSAN 인증서를 새로 고칩니다.
- MCS
시작 - 모든 클라이언트를 다시 등록하려고 시도합니다.
- Data Domain과 다시 동기화합니다.
- 백업 스케줄러 서비스를 재개합니다.
본보기
int_key.pem - PKCS1 형식의
내부 중간 CA 개인 키int_cert.crt - 내부 중간 CA 인증서
root_ca.crt - 내부 루트 CA 인증서
int_key.pem
root@ser-ave03:/home/admin/#: cat int_key.pem -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAorFbO4McgCv8tFrQVyzcjBQdOAT/bYVNG5SjWH895MHM9OFU B2sQcCTvGJRdSXEheuqHtRVWt761CReXk+yhf51XGtU+0OQdPWecHeSyWfzsLihy ZfCRYcoSP7OW6IAOiigWTZqroZc2jWOygZevyM8HPmpmOa7C2TYCHZNgAQnbw+IU XRDR/Yofsj+IjOit+Fw0zAE2GBm6pViNIv1nHwxTtXkjlu9g4qcHML1/0WkJ2d+p lmnE8qMZtdzOSWZeuBDiOsyTHbjAZFhDetWOjcUZ8z7zmvTjtgSMcSJCQnuNL9Y2 [key_contents_retracted_for_privacy] w1JY6IaQO6GhzLInet2uguuZ9rBBnYxcsz9/PV6Y+ZMTGX1ySLXAhfht0rtfN3qq 3SFzXagwB/v42rEHDRI7Tin7v5oNpD5hWSTwW9jIFikJJZuYCMagwH+to6Pa6CFY AOdHAoGAGCvK9QjJW5BRHAwjgzH3aQijKK9lKtQH4v5YJsEqQK4lFg3S8m6KxgTA XyMzkOFx5+3CFRrXCbNyS3hLDen7IMAZbY35QhvW2DO0Sow+t3dVOxk26RGeAopo ZmemuZ3TR4Esqrd9rdAwHy/YwJ1ZWcLRQmfab4MoQPmK0iuSA6A= -----END RSA PRIVATE KEY-----
int_cert.crt
root@ser-ave03:/home/admin/#: cat int_cert.crt -----BEGIN CERTIFICATE----- MIIDRzCCAi+gAwIBAgIQfpAycyHdgHTR+JiDuTZLNzANBgkqhkiG9w0BAQsFADAX MRUwEwYDVQQDDAx0b255X3Jvb3RfQ0EwHhcNMjIxMDIxMTQ1ODU2WhcNMjUwMTIz MTQ1ODU2WjAfMR0wGwYDVQQDDBR0b255X2ludGVybWVkaWF0ZV9DQTCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBAKKxWzuDHIAr/LRa0Fcs3IwUHTgE/22F TRuUo1h/PeTBzPThVAdrEHAk7xiUXUlxIXrqh7UVVre+tQkXl5PsoX+dVxrVPtDk HT1nnB3ksln87C4ocmXwkWHKEj+zluiADoooFk2aq6GXNo1jsoGXr8jPBz5qZjmu wtk2Ah2TYAEJ28PiFF0Q0f2KH7I/iIzorfhcNMwBNhgZuqVYjSL9Zx8MU7V5I5bv YOKnBzC9f9FpCdnfqZZpxPKjGbXczklmXrgQ4jrMkx24wGRYQ3rVjo3FGfM+85r0 47YEjHEiQkJ7jS/WNsr/i7+ID/OUsf9yemLW00tfLEXSgWcaVEHhH+cCAwEAAaOB hjCBgzAMBgNVHRMEBTADAQH/MB0GA1UdDgQWBBTaUhUnUx2JL/SGVARyaGuQESLC 7DBHBgNVHSMEQDA+gBRXocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UE AwwMdG9ueV9yb290X0NBggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3 DQEBCwUAA4IBAQAWTZjFYHIfz6r8N9EtMqweTOfSdNAPfwEKLmIfKJq27oYaE2Il +2xCWBlsa4tz95Rr6Ve0gLT1NmFZki81GcikTS1NG/qeRmPq4orNrMz3HGmU2C/F lFnNOvuJeg8n/0Bl9SWijs4t95ddFty99vU3yWvUrnD/tfwfuMm4v2txRHGaZfSn 90oR6Iy/RwZ3+khcw7NojZ8/UUMHSGX+wk/Lo9pTWM6rxDgDYBGI8z2YLmuiBniO tU8ByLnwCpyFjvho5/ja+rwrs4Qw50n0ZTSbRyoOHRdr73hG8g7sZaReLlq/As9u +CBakbNCeywsmUDVrFifGGkVoadBjjGUpYkC -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in int_cert.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_intermediate_CA
issuer= /CN=tony_root_CA
root_ca.crt
root@ser-ave03:/home/admin/#: cat root_ca.crt -----BEGIN CERTIFICATE----- MIIDODCCAiCgAwIBAgIJANUbu3KFiGsWMA0GCSqGSIb3DQEBCwUAMBcxFTATBgNV BAMMDHRvbnlfcm9vdF9DQTAeFw0yMjEwMjExNDUyMzZaFw0zMjEwMTgxNDUyMzZa MBcxFTATBgNVBAMMDHRvbnlfcm9vdF9DQTCCASIwDQYJKoZIhvcNAQEBBQADggEP ADCCAQoCggEBANJrB+YHwQPKWdt19nH5IaxEwz198gfJvfVtoG/Qt7HKiDHb6XAa g7nP6MHLZmbNdIv2FB9S9UrOARgOZuxJ4EvqP2Q188ArNFnkUZoo1ylO2JyZ2f7D C21eOGfuupvczdYlB/Tklfs207RIPhEvds5JrMEKmPrP1g8O3kCpiPqoi1Ul+0AG WW8k/EViEaZgsmhMzd3TWm9vcrO5lxzeFnSO8DUL/pAkbvngEErROe02dWayZ3R9 y+tZQ0hDNm0e3qp7iSaDeEOXtXAnr6j/126qaI+q2Mk3/NQpjxYjKuYrW/8dcIOZ LIuISYIpcbc2WU/p0sQVwDo93bBUd1IBbuUCAwEAAaOBhjCBgzAMBgNVHRMEBTAD AQH/MB0GA1UdDgQWBBRXocE7ZbX0UU6YbhaT7hYG5N+zeDBHBgNVHSMEQDA+gBRX ocE7ZbX0UU6YbhaT7hYG5N+zeKEbpBkwFzEVMBMGA1UEAwwMdG9ueV9yb290X0NB ggkA1Ru7coWIaxYwCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQAu+Wgs yWIQT4jIaVX0ddyvrTyXxeMgLovmRyOHC+sa7BPhoyOoGPDlBkaS0s1VABtAoiml Ioqf4UrYsVXFFvrhfTny0FE9Ryw4Q3Az0msj0gELfMuHWkKitW+d/z578g8ngxC4 WDOMwbIzHPa2TbIFoH+plNhnbpxWZj0WRaUBN9uW5U7lG/+OCMgs5+/kjPqrhfyy yNC2/2AgO1QhyZ7wcEltQ5iTQLfni3NVzbLGImOWCbNgKeKYn2pApq5EwUIvyqK5 KPFBXMelDDGcbieJW+7QbDtSnsghsp5i0R6bG5DElYfYODECQMdq3v5/dk/7oDqT 9WHdPFSNlZp0AVtQ -----END CERTIFICATE-----
root@ser-ave03:/home/admin/#: openssl x509 -noout -text -subject -issuer -in root_ca.crt | grep "CA:\|subject\|issuer"
CA:TRUE
subject= /CN=tony_root_CA
issuer= /CN=tony_root_CA
설치
root@ser-ave03:/home/admin/#: importcert.sh int_key.pem int_cert.crt root_ca.crt The script will re-generate and replace Avamar RootCA. The mcs will be restarted, and ddboost service on datadomain will be restarted if there are datadomains attached. Do you want to continue N/y? [N]:Y 0. Stop backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Suspending backup scheduler... dpnctl: INFO: Backup scheduler suspended. 1. Stop MC Server === BEGIN === check.mcs (poststart) check.mcs passed === PASS === check.mcs PASSED OVERALL (poststart) Stopping REST API Service... REST API Service stopped. Administrator Server shutdown initiated. Stopping Administrator Server at Tue Oct 25 20:19:46 GMT 2022 ... Administrator Server stopped at Tue Oct 25 20:19:48 GMT 2022. === Stop Avamar Certificate Service === Avamar Certificate Service stopped. Stopping the database server. Database server stopped. 2. Vefify key cert if match Key cert matched OK 3. Verify cert by chain Verify OK 4. Import key&cert&chain into keystore Import to keystore OK 5. Refresh tls cert Refresh tls OK 6. Refresh gSAN cert 7. Start MC server Starting the database server. Waiting for postmaster to start ..Started Start MCDB: processing time = 2 s. Check MCS: processing time = 4 s. INFO: Starting messaging service. INFO: Started messaging service. Start Message Broker: processing time = 11 s. === BEGIN === check.mcs (prestart) check.mcs passed === PASS === check.mcs PASSED OVERALL (prestart) Starting Administrator Server at Tue Oct 25 20:20:39 GMT 2022 ... Upgrade MCS Preference: processing time = 196ms Upgrade MCDB: processing time = 436ms Check node list: processing time = 659ms Prepare MC SSL Properties: processing time = 1ms Init node: processing time = 340ms Install service: com.avamar.mc.prefs.MCSPreferencesService, processing time = 9ms Install service: com.avamar.mc.message.MessageEventService, processing time = 11ms Event Size: 18548 Install service: com.avamar.mc.event.EventService, processing time = 5619ms Install service: com.avamar.mc.jms.push.JmsPushService, processing time = 98ms Install service: com.avamar.mc.dpn.DPNProxyService, processing time = 7262ms Install service: com.avamar.mc.datatap.MCDataTapService, processing time = 9ms Install service: com.avamar.mc.cm.ClusterManagerService, processing time = 6ms Install service: com.avamar.mc.wo.WorkOrderSchedulingService, processing time = 305ms Install service: com.avamar.mc.sch.ScheduleService, processing time = 229ms Install service: com.avamar.mc.um.UserManagerService, processing time = 49ms Install service: com.avamar.mc.ldap.LdapManagerService, processing time = 105ms Install service: com.avamar.mc.datadomain.DataDomainService, processing time = 414ms Install service: com.avamar.mc.cr.ClientRegistryService, processing time = 4054ms Install service: com.avamar.mc.burm.BackupRestoreManagerService, processing time = 67ms Initiated VC: /myvc.dell.com Ver: null-null. (Total time - 50359 ms) VmwareService is ready. (Total time - 50362 ms) Install service: com.avamar.mc.vmware.VmwareService, processing time = 53459ms Wait VC cache pool synchronized done for vc /nc-ave01.dell.com at Tue Oct 25 20:21:54 GMT 2022 Total time(ms) - 0 Install service: com.avamar.mc.pdm.ProxyDeploymentManagerService, processing time = 37ms Install service: com.avamar.mc.mon.MonitorService, processing time = 457ms Install service: com.avamar.mc.mcsm.MCSManagerService, processing time = 135ms Install service: com.avamar.mc.lm.LicenseManagerService, processing time = 118ms Install service: com.avamar.mc.rpt.ReportService, processing time = 180ms Install service: com.avamar.mc.ws.MCWebServices, processing time = 154ms Install service: com.avamar.mc.ws.MCJettyService, processing time = 1272ms Install service: com.avamar.mc.repl.ReplicationService, processing time = 87ms Install service: com.avamar.mc.st.SessionTicketService, processing time = 1171ms Install service: com.avamar.mc.ras.McEbmsService, processing time = 3698ms Install service: com.avamar.mc.migration.MigrationService, processing time = 56ms Start service container: processing time = 79083ms log4j:WARN No appenders could be found for logger (org.apache.axiom.util.stax.dialect.StAXDialectDetector). log4j:WARN Please initialize the log4j system properly. Init crontab: processing time = 4075ms Update axion system table: processing time = 4ms Update connect emc email subject: processing time = 12ms Administrator Server started at Tue Oct 25 20:22:06 GMT 2022. Start MC Java Process: processing time = 88 s. INFO: Starting Data Domain SNMP Manager.... INFO: Connecting to MCS Server: ser-ave03 at port: 7778... INFO: Successfully connected to MCS Server: ser-ave03 at port: 7778. INFO: No trap listeners were started, Data Domain SNMP Manager didn't start. Other Task: processing time = 7 s. Starting REST API Service........ REST API Service started. Start MC Rest: processing time = 16 s. === Start Avamar Certificate Service === Avamar Certificate Service started. 8. Re-register all clients 0,22237,Client invited to activate with server. Attribute Value --------- -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- summary Partial-sucessfullly activiated clients. , succeed activated clients: client1.dell.com ser-ave03 client2.dell.com , failed activated clients: ser-ave04, caused by Unable to contact: /clients/ser-ave04 on port: 28009 client3.dell.com, caused by Unable to contact: /clients/client3.dell.com on port: 28002 client4.dell.com, caused by Unable to contact: /clients/client4.dell.com on port: 28002 10. Start backup scheduler Identity added: /home/admin/.ssh/admin_key (/home/admin/.ssh/admin_key) dpnctl: INFO: Resuming backup scheduler... dpnctl: INFO: Backup scheduler resumed. dpnctl: INFO: No /usr/local/avamar/var/dpn_service_status exist.
설치
후설치 스크립트가 완료되면 일부 에이전트 기반 클라이언트 및 VMware 프록시를 수동으로 다시 등록해야 할 수 있습니다.
Avamar 키 저장소의 내용을 확인하여 스크립트 실행 결과를 보려면 다음 명령을 실행합니다.
keytool -list -v -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase)별칭:
Mcrsaroot는 기본 제약 조건 CA가 있는 CA 전용 별칭이어야 합니다. 참
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsaroot -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"예
Issuer: CN=tony_root_CA
Subject: CN=tony_intermediate_CA
CA:TRUE
Mcrsatls는 사용자가 제공한 다운스트림 CA가 Avamar Server에 발급한 전체 체인 최종 엔터티 인증서여야 합니다.
keytool -export -keystore /usr/local/avamar/lib/avamar_keystore -storepass $(avlockbox.sh -r keystore_passphrase) -alias mcrsatls -rfc | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"예
Issuer: CN=tony_intermediate_CA
Subject: C=US, ST=California, L=Irvine, O=EMC Corp, OU=BRS Division, CN=Avamar Server RSA TLS, CN=ser-ave03.dell.com
CA:FALSE
인증서가 교체되었는지 검증하려는 경우 openssl을 사용하여 보안 클라이언트로 Avamar Utility Node에 연결하여 gsan/mcs/registration 포트의 인증서 내용을 가져올 수 있습니다.
Port Certificate 29000 /home/admin/chain.pem (exported PEM copy of mcrsaroot) 30001 mcsrsatls (chained) 30002 new avamar client certificate 30003 mcrsatls (chained)
openssl s_client -connect localhost:29000 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30001 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30002 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
openssl s_client -connect localhost:30003 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | egrep "Subject:|Issuer:|CA:"
문제 해결
스크립트 중에 다음 오류가 발생하는 경우 인증서 발급이 가능한 CA 대신 최종 엔터티 인증서를 설치하려고 했기 때문일 수 있습니다.
5. Refresh tls cert Refresh tls ERROR
스크립트가 성공적으로 완료된 후에도 Avamar Utility Node의 포트 30002에 여전히 이전 인증서가 표시되면 Avagent를 재시작합니다.
service avagent restart
Affected Products
AvamarArticle Properties
Article Number: 000204629
Article Type: How To
Last Modified: 30 May 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.