Avamar: Cómo restablecer certificados debido a vencimiento o configuración incorrecta

Resumen: Cómo restablecer certificados debido a vencimiento o configuración incorrecta.

Productos afectados

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Consulte estos recursos

Instrucciones

Caso de uso:

Los servicios de Avamar están inactivos y no se pueden activar debido a certificados vencidos o a una configuración incorrecta del certificado.
Vuelva a generar certificados a petición.

Nota: La regeneración de los almacenes de claves y la actualización del almacén de certificados de Data Domain se pueden realizar automáticamente con la herramienta GoAV.

Consulte este artículo sobre Avamar 19.3+: Operaciones de comprobación, reparación, regeneración y exhibición del almacenamiento de claves de seguridad de GoAV

./goav security keystore regenerate

Compruebe las fechas de vencimiento del certificado:

Inicie sesión mediante SSH en Avamar Utility Node como administrador y, a continuación, cambie a root.

su - root

Si la versión de Avamar es 19.4 o anterior, ejecute el siguiente comando:

storepath=/home/admin/.keystore

Si la versión de Avamar es 19.7 o posterior, ejecute el siguiente comando:

storepath=/home/tomcat/.keystore

Ejecute el siguiente comando para imprimir las fechas de vencimiento del certificado.

storepass=`ask_pass -r keystore_passphrase` && echo "MC Root certificates: " && keytool -list -keystore /usr/local/avamar/lib/avamar_keystore -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "MCSDK certificate: " && keytool -list -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "Admin/DTLT certificate: " && keytool -list -alias tomcat -keystore $storepath -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "Avi certificate: " && keytool -list -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "Apache certificate: " && openssl x509 -in /etc/apache2/ssl.crt/server.crt -noout -dates

Detenga los servicios de Avamar.

dpnctl stop mcs,emt,avi

Vuelva a generar los certificados raíz del servicio de consola de administración (MCS):

Advertencia: Este paso actualiza todos los certificados raíz de MCS. Estos certificados solo se deben actualizar si vencieron o están a punto de vencer. Afecta los respaldos, las restauraciones y la replicación de clientes si la seguridad de sesión está activada. Los pasos 9 y 10 se deben ejecutar después de esta actividad para evitar fallas.

Regenera /usr/local/avamar/lib/avamar_keystore

mv /usr/local/avamar/lib/avamar_keystore /usr/local/avamar/lib/avamar_keystore-$(date -I)
mcrootca all

Vuelva a generar los certificados del kit para desarrolladores MCS (MCSDK):

Nota: Esto actualiza el almacén de claves RMI de Avamar que contiene el certificado MCSDK y la clave de firma de JWT. El certificado MCSDK maneja las comunicaciones de invocación de método remoto (RMI) de Java con Data Protection Central (DPC), Avamar Administrator Console, Proxy Deployment Manager (PDM) y Client Manager (AAM). Ejecute los pasos cuando el certificado de MCSDK haya vencido, esté a punto de vencer o esté configurado erróneamente.

Regenera /usr/local/avamar/lib/rmi_ssl_keystore.

mv /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore-$(date -I)
keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3650 -dname "CN=$(hostname -f), OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3650 -dname "CN=$(hostname -f), OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
chown root:admin /usr/local/avamar/lib/rmi_ssl_keystore
chmod 660 /usr/local/avamar/lib/rmi_ssl_keystore

Vuelva a generar los certificados de Tomcat:

El almacenamiento de claves de Tomcat almacena los certificados de Tomcat.
En Avamar versión 19.4 y anteriores, la ubicación del almacén de claves Tomcat es la siguiente:

/home/admin/.keystore

En Avamar versión 19.7 y posteriores, la ubicación del almacén de claves Tomcat es:

/home/tomcat/.keystore

Nota: Si los certificados de MCSDK se volvieron a generar en el paso 3, también se deben volver a generar los certificados de Tomcat.

Si la versión de Avamar es 19.4 o anterior, ejecute el siguiente comando:

TOMCAT_KEYSTORE=/home/admin/.keystore

Si la versión de Avamar es 19.7 o posterior, ejecute el siguiente comando:

TOMCAT_KEYSTORE=/home/tomcat/.keystore

Regenere el almacenamiento de claves Tomcat:

mv $TOMCAT_KEYSTORE /home/admin/tomcat_keystore.bak
keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore $TOMCAT_KEYSTORE -storepass $(avlockbox.sh -r keystore_passphrase) -validity 3650 -dname "CN=$(hostname -f), OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US"
keytool -export -file /tmp/mcssl.pem -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass $(avlockbox.sh -r keystore_passphrase)
keytool -import -file /tmp/mcssl.pem -alias mcssl -keystore $TOMCAT_KEYSTORE -storepass $(avlockbox.sh -r keystore_passphrase)

Actualice los permisos y la propiedad del almacenamiento de claves.
19.4 y versiones anteriores:

chmod 740 $TOMCAT_KEYSTORE
chown admin:admin $TOMCAT_KEYSTORE

19.7 y versiones posteriores:

chmod 640 $TOMCAT_KEYSTORE
chown root:tomcat $TOMCAT_KEYSTORE

Vuelva a generar los certificados del instalador de Avamar (AVI):

Nota: Si los certificados de MCSDK se volvieron a generar en el paso 3, los certificados de AVI también se deben volver a generar.

Regenera /usr/local/avamar/lib/avi/avi_keystore

mv /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore-$(date -I)
gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=$(avlockbox.sh -r keystore_passphrase) --verbose
keytool -export -file /tmp/mcssl.pem -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass $(avlockbox.sh -r keystore_passphrase)
keytool -import -file /tmp/mcssl.pem -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass $(avlockbox.sh -r keystore_passphrase)
chmod 644 /usr/local/avamar/lib/avi/avi_keystore
chown avi:avi /usr/local/avamar/lib/avi/avi_keystore

Los pasos anteriores reinician automáticamente el servicio Avamar Installer (AVI).

Vuelva a generar los certificados Apache:

Los certificados de Apache se almacenan como archivos de certificado con formato de correo con privacidad mejorada (PEM) normal.
En Goav versión 1.84 y posteriores, vuelva a generar los certificados de Apache con el siguiente comando.

./goav security certificate apache regenerate

O utilice el siguiente script en Avamar de manera predeterminada.

gen-ssl-cert --updateapache --noupdateavi --keystorepwd=$(avlockbox.sh -r keystore_passphrase) --verbose

Vuelva a generar los certificados de red de área de almacenamiento global (GSAN):

Nota: El certificado de GSAN se debe volver a generar si los certificados raíz de MCS se regeneraron en el paso 2.

enable_secure_config.sh --certs

Inicie los servicios de Avamar:

dpnctl start mcs,emt

Actualice el almacén de certificados de Data Domain (DD):

Nota: El almacén de certificados de DD se debe actualizar si los certificados raíz de MCS se volvieron a generar en el paso 2.

En el siguiente artículo, se proporcionan los pasos manuales para actualizar el almacén de certificados de DD.

Ver paso 1 del artículo | Integración de Avamar y Data Domain: DD se muestra en rojo en la AUI de Avamar o en la ruta

de resolución de la interfaz de usuarioComo alternativa, use el siguiente artículo para actualizar automáticamente el almacén de certificados de DD mediante la herramienta GoAV | Avamar: Información sobre la característica dd check-ssl de Goav

./goav dd check-ssl --fix

Vuelva a registrar los clientes y los proxies de VMware.

Nota: Si el certificado raíz de MCS se volvió a generar en el paso 2, los clientes basados en agente y los proxies de VMware se deben volver a registrar.

Vuelva a registrar los clientes basados en agente.

mccli client re-register-all

Vuelva a registrar los proxies de VMware reiniciándolos de manera centralizada desde Avamar.

mccli mcs reboot-proxy --all

Genere un nuevo conjunto de certificados de cliente para avtar, si existe.
1. Si el certificado GSAN se volvió a generar (paso 7), confirme si existe el certificado de cliente en /usr/local/avamar/etc and /usr/local/avamar/etc/client.

cd /usr/local/avamar/etc/$(hostname -i)
cd /usr/local/avamar/etc/client/$(hostname -i)

1. Si en el resultado se muestra "No such file or directory", significa que Avamar no está utilizando el certificado de cliente. Compruebe ambos directorios:

root@av-server:~/#: cd /usr/local/avamar/etc/$(hostname -i)
root@av-server:/usr/local/avamar/etc/192.168.1.113/#:

root@av-server:~/#: cd /usr/local/avamar/etc/client/$(hostname -i)
-bash: cd: /usr/local/avamar/etc/client/192.168.1.113: No such file or directory
root@av-server:~/#:

1. Elimine el directorio de certificados del cliente como raíz solo para los directorios existentes en el paso 11a.

PRECAUCIÓN: COPIE LOS SIGUIENTES COMANDOS TAL COMO ESTÁN. NO MODIFICARLOS.

rm -r /usr/local/avamar/etc/$(hostname -i)
rm -r /usr/local/avamar/etc/client/$(hostname -i)

1. Genere un nuevo conjunto de certificados de cliente para avtar solo para los directorios existentes en el paso 11.1.

avagent.bin --gencerts=true --mcsaddr=$(hostname -i)
avagent.bin --gencerts=true --mcsaddr=$(hostname -i) --sysdir=/usr/local/avamar/etc/client

1. Pruebe una conexión para confirmar si avtar puede conectarse a GSAN:

avtar --backups --path=/MC_BACKUPS --count=5 --encrypt=tls

Inicie el programador de respaldos y pruebe los respaldos.

dpnctl start sched

Realice la verificación posterior a los cambios.

Realizar un respaldo de prueba
Realice una búsqueda de respaldo para la restauración

Productos afectados

PowerProtect Data Protection Appliance, Avamar Server, Data Domain

Productos

Avamar Virtual Edition

Número del artículo: 000188770

Tipo de artículo: How To

Última modificación: 12 ago. 2025

Versión: 21

Compruebe si el dispositivo está cubierto por los servicios de soporte.

Avamar: Cómo restablecer certificados debido a vencimiento o configuración incorrecta

Resumen: Cómo restablecer certificados debido a vencimiento o configuración incorrecta.

Instrucciones

Productos afectados

Instrucciones

Productos afectados

Productos

Propiedades del artículo

Encuentre respuestas a sus preguntas de otros usuarios de Dell

Servicios de soporte

Propiedades del artículo

Encuentre respuestas a sus preguntas de otros usuarios de Dell

Servicios de soporte

Avamar: Cómo restablecer certificados debido a vencimiento o configuración incorrecta

Resumen: Cómo restablecer certificados debido a vencimiento o configuración incorrecta.

Artículo detallado

Instrucciones

Productos afectados

Instrucciones

Productos afectados

Productos

Propiedades del artículo

Encuentre respuestas a sus preguntas de otros usuarios de Dell

Servicios de soporte

Propiedades del artículo

Encuentre respuestas a sus preguntas de otros usuarios de Dell

Servicios de soporte