Avamar: Come reimpostare i certificati a causa di una scadenza o di una configurazione errata

Caso d'uso: 

• I servizi Avamar sono inattivi e non possono essere attivati a causa di certificati scaduti o di configurazione errata dei certificati.
• Rigenerare i certificati on-demand.

Consultare questo articolo Avamar 19.3+: Controllo integrità del keystore di protezione GoAV, correzione, rigenerazione e visualizzazione delle operazioni

./goav security keystore regenerate

Controllare le date di scadenza del certificato:

Accedere tramite SSH ad Avamar Utility Node come admin, quindi passare a root.

su - root

Se la versione di Avamar è 19.4 e precedente, eseguire il comando seguente:

storepath=/home/admin/.keystore

Se la versione di Avamar è 19.7 e successive, eseguire il seguente comando:

storepath=/home/tomcat/.keystore

Eseguire il seguente comando per stampare le date di scadenza del certificato.

storepass=`ask_pass -r keystore_passphrase` && echo "MC Root certificates: " && keytool -list -keystore /usr/local/avamar/lib/avamar_keystore -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "MCSDK certificate: " && keytool -list -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "Admin/DTLT certificate: " && keytool -list -alias tomcat -keystore $storepath -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "Avi certificate: " && keytool -list -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass $storepass -v | egrep "Alias name|Valid from" && echo && echo "Apache certificate: " && openssl x509 -in /etc/apache2/ssl.crt/server.crt -noout -dates

1. Arrestare i servizi Avamar.

dpnctl stop mcs,emt,avi

2. Rigenerare i certificati radice Management Console Service (MCS):
    

Rigenera /usr/local/avamar/lib/avamar_keystore

mv /usr/local/avamar/lib/avamar_keystore /usr/local/avamar/lib/avamar_keystore-$(date -I)
mcrootca all

3. Rigenerare i certificati MCSDK (MCS Developer Kit):
    

mv /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore-$(date -I)
keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3650 -dname "CN=$(hostname -f), OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3650 -dname "CN=$(hostname -f), OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
chown root:admin /usr/local/avamar/lib/rmi_ssl_keystore
chmod 660 /usr/local/avamar/lib/rmi_ssl_keystore

4. Rigenerare i certificati Tomcat:

L'archivio chiavi Tomcat archivia i certificati Tomcat.
In Avamar versione 19.4 e precedenti, la posizione dell'archivio chiavi Tomcat è:

/home/admin/.keystore

Su Avamar versione 19.7 e successive, la posizione dell'archivio chiavi Tomcat è:

/home/tomcat/.keystore

Se la versione di Avamar è 19.4 o precedente, eseguire il seguente comando:

TOMCAT_KEYSTORE=/home/admin/.keystore

Se la versione di Avamar è 19.7 o successiva, eseguire il comando seguente:

TOMCAT_KEYSTORE=/home/tomcat/.keystore

Rigenerare l'archivio chiavi Tomcat:

mv $TOMCAT_KEYSTORE /home/admin/tomcat_keystore.bak
keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore $TOMCAT_KEYSTORE -storepass $(avlockbox.sh -r keystore_passphrase) -validity 3650 -dname "CN=$(hostname -f), OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US"
keytool -export -file /tmp/mcssl.pem -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass $(avlockbox.sh -r keystore_passphrase)
keytool -import -file /tmp/mcssl.pem -alias mcssl -keystore $TOMCAT_KEYSTORE -storepass $(avlockbox.sh -r keystore_passphrase)

Aggiornare le autorizzazioni e la proprietà del keystore.
19.4 e precedenti:

chmod 740 $TOMCAT_KEYSTORE
chown admin:admin $TOMCAT_KEYSTORE

19.7 e versioni successive:

chmod 640 $TOMCAT_KEYSTORE
chown root:tomcat $TOMCAT_KEYSTORE

5. Rigenerare i certificati AVI (Avamar Installer):
    

Rigenera /usr/local/avamar/lib/avi/avi_keystore

mv /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore-$(date -I)
gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=$(avlockbox.sh -r keystore_passphrase) --verbose
keytool -export -file /tmp/mcssl.pem -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass $(avlockbox.sh -r keystore_passphrase)
keytool -import -file /tmp/mcssl.pem -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass $(avlockbox.sh -r keystore_passphrase)
chmod 644 /usr/local/avamar/lib/avi/avi_keystore
chown avi:avi /usr/local/avamar/lib/avi/avi_keystore

I passaggi precedenti riavviano automaticamente il servizio Avamar Installer (AVI).
 

6. Rigenerare i certificati Apache:
    

I certificati Apache vengono archiviati come normali file di certificato formattati in formato PEM (Privacy Enhanced Mail).
In Goav versione 1.84 e successive, rigenerare i certificati Apache con il seguente comando.

./goav security certificate apache regenerate

In alternativa, utilizzare lo script seguente su Avamar per impostazione predefinita.

gen-ssl-cert --updateapache --noupdateavi --keystorepwd=$(avlockbox.sh -r keystore_passphrase) --verbose

7. Rigenerare i certificati GSAN (Global Storage Area Network):
    

enable_secure_config.sh --certs

8. Avviare i servizi Avamar:

dpnctl start mcs,emt

9. Aggiornare l'archivio certificati Data Domain (DD):
    

L'articolo seguente illustra la procedura manuale per aggiornare l'archivio certificati DD.

Vedere il passaggio 1 dell'articolo | Integrazione di Avamar e Data Domain: DD mostra il rosso in Avamar AUI e/o nell'interfaccia utente Percorso

di risoluzioneIn alternativa, utilizzare l'articolo seguente per aggiornare automaticamente l'archivio certificati DD utilizzando lo strumento GoAV | Avamar: informazioni sulla funzione dd check-ssl dello strumento Goav

./goav dd check-ssl --fix

10. Registrare nuovamente i client e i proxy VMware.
     

Registrare nuovamente i client basati su agente.

mccli client re-register-all

Registrare nuovamente i proxy VMware riavviandoli centralmente da Avamar.

mccli mcs reboot-proxy --all

11. Generare un nuovo set di certificati client per avtar, se presente.
    1. Se il certificato GSAN è stato rigenerato (passaggio 7), verificare se il certificato client è presente in /usr/local/avamar/etc and /usr/local/avamar/etc/client.

cd /usr/local/avamar/etc/$(hostname -i)
cd /usr/local/avamar/etc/client/$(hostname -i)

1. 2. Se l'output mostra "No such file or directory", significa che Avamar non utilizza il certificato client. Controllare entrambe le directory:

root@av-server:~/#: cd /usr/local/avamar/etc/$(hostname -i)
root@av-server:/usr/local/avamar/etc/192.168.1.113/#:

root@av-server:~/#: cd /usr/local/avamar/etc/client/$(hostname -i)
-bash: cd: /usr/local/avamar/etc/client/192.168.1.113: No such file or directory
root@av-server:~/#:

1. 3. Rimuovere la directory del certificato client come root solo per le directory esistenti nel passaggio 11a.

rm -r /usr/local/avamar/etc/$(hostname -i)
rm -r /usr/local/avamar/etc/client/$(hostname -i)

1. 4. Generare un nuovo set di certificati client per avtar solo per le directory esistenti nel passaggio 11.1.

avagent.bin --gencerts=true --mcsaddr=$(hostname -i)
avagent.bin --gencerts=true --mcsaddr=$(hostname -i) --sysdir=/usr/local/avamar/etc/client

1. 5. Testare una connessione per verificare se avtar è in grado di connettersi a GSAN:

avtar --backups --path=/MC_BACKUPS --count=5 --encrypt=tls

12. Avviare l'utilità di pianificazione dei backup e testare i backup.

dpnctl start sched

12. Eseguire la verifica dopo le modifiche.

• Esecuzione di un backup di prova
• Eseguire una ricerca di backup per il ripristino