本文适用于 Avamar 19.2.x。
任务详细信息:
以下过程创建、导入私钥及其证书,将该密钥和证书分发到每个组件(avinstaller、aam/flr/dtlt、mcsdk、rmi 和 AUI),然后将所有级别的受信任证书导入证书链,从而替换已列出组件的证书
使用 AUI 安装证书的步骤:
- 以管理员用户身份登录到 Avamar PuTTY。
- 在 /home/admin 下创建证书目录,并使用以下命令切换到 /home/admin/certs 目录:
- 使用以下命令创建私钥和证书请求:
openssl req -x509 -new -newkey rsa:3072 -nodes -keyout server.key -sha512 -out server.crt -days 1825
- 使用以下命令创建证书请求:
openssl x509 -x509toreq -in server.crt -signkey server.key -out server.csr
- 将 server.csr 发送到 CA 并进行签名。确保从 CA 收到的所有证书都采用 PEM 格式。假设您已收到签名证书 avamar_server.crt,并且还从 CA 获得根证书和中级证书。
- 将 server.key 从 /home/admin/certs 复制到桌面。放置签名证书 (avamar_server.crt),将根证书和中间证书组合在 ca.crt 文件中,然后放置在桌面上。
- 使用完全限定域名 (FQDN) 在浏览器中打开 AUI 页面:
https://fqdn_of_avamar/aui
- 在 AUI 中,导航到 Administration > System > Certificate 选项卡 > Private Key 选项卡。表中将显示 Web 服务器的私有证书条目。
- 单击 Web Server 条目旁边的径向按钮,然后单击 +REPLACE 选项卡。此时将显示 Replace Private Entry 向导。
- 在 Private Key 字段中,单击 Browse 以找到并选择您的证书的私钥。在我们的案例中,它是放置在桌面上的 server.key。
- 在 Certificate 字段中,单击 Browse 以找到并选择您的证书文件。应该是 avamar_server.crt。
- (可选)如果私钥受到保护,请提供密码,否则将其留空,然后单击“Next”。
- 启动证书验证。如果验证失败(例如,如果您选择 server.key 作为私钥,并选择 ca.crt 作为证书),则会显示一条消息,指示私钥和证书不匹配。
- 验证成功完成后,单击 FINISH。
- 在 Certificate 选项卡下,选择 Trust Certificate 选项卡,然后单击 +IMPORT。此时将显示“Import Certificate”向导。
- 在 Alias 字段中,提供任意别名,例如 trustedCA。在 File 字段中,单击 BROWSE 以找到并导入相应的受信任证书。在我们的案例中,它是桌面上的 ca.crt。单击 NEXT。
- 单击 FINISH。在导入完成后,查看 Trust Certificate 选项卡下的受信任证书详细信息。
- 单击 RESTART SERVICES 以应用证书,然后单击 YES 以确认您想要重新启动这些服务。
(提醒:它会重新启动 Apache Tomcat 和 MCS)