Dieser Artikel gilt für Avamar 19.2.x.
Aufgabendetails:
Mit dem folgenden Verfahren können Sie den privaten Schlüssel und das zugehörige Zertifikat erstellen und importieren und den Schlüssel und das Zertifikat auf jede Komponente verteilen (avinstaller, aam/flr/dtlt, mcsdk, rmi und AUI). Anschließend können Sie alle vertrauenswürdigen Zertifikatebenen in die Zertifikatskette importieren, sodass die Zertifikate der aufgelisteten Komponenten ausgetauscht werden
Schritte für die Zertifikatsinstallation über AUI:
- Melden Sie sich bei Avamar PuTTY als Administratornutzer an.
- Erstellen Sie ein Zertifikatsverzeichnis unter /home/admin und wechseln Sie zum Verzeichnis /home/admin/certs mit den Befehlen:
- Erstellen Sie eine Anforderung für einen privaten Schlüssel und das Zertifikat mit dem folgenden Befehl:
openssl req -x509 -new -newkey rsa:3072 -nodes -keyout server.key -sha512 -out server.crt -days 1825
- Erstellen Sie eine Zertifikatsanforderung mit dem folgenden Befehl:
openssl x509 -x509toreq -in server.crt -signkey server.key -out server.csr
- Senden Sie eine server.csr an die Zertifizierungsstelle (CA) und lassen Sie sie signieren. Stellen Sie sicher, dass alle von der Zertifizierungsstelle empfangenen Zertifikate in PEM-Format vorliegen. Wenn Sie das signierte Zertifikat als avamar_server.crt erhalten haben, fordern Sie auch das Root- und Zwischenzertifikat von der Zertifizierungsstelle an.
- Kopieren Sie den server.key von /home/admin/certs auf den Desktop. Legen Sie das signierte Zertifikat (avamar_server.crt) ab, kombinieren Sie das Root-Zertifikat und das Zwischenzertifikat in einer ca.crt-Datei und platzieren Sie sie auf dem Desktop.
- Öffnen Sie die AUI-Seite im Browser mit FQDN (Fully Qualified Domain Name):
https://fqdn_of_avamar/aui
- Navigieren Sie in der AUI zur Registerkarte Administration > System > Certificate tab > Private Key. Ein Eintrag für ein privates Zertifikat für den Webserver wird in der Tabelle angezeigt.
- Klicken Sie auf die sternförmige Schaltfläche neben dem Webserver-Eintrag > Klicken Sie auf die Registerkarte +Replace. Der Assistent Replace Private Entry wird angezeigt.
- Klicken Sie im Feld Private Key auf Browse, um den privaten Schlüssel Ihres Zertifikats zu suchen und auszuwählen. In diesem Fall ist das server.key auf dem Desktop.
- Klicken Sie im Feld Certificate auf Browse, um Ihre Zertifikatdatei zu suchen und auszuwählen. Das sollte avamar_server.crt sein.
- (Optional) Wenn der private Schlüssel geschützt ist, geben Sie die Passphrase ein, andernfalls lassen Sie sie leer und klicken Sie auf „Next“.
- Die Zertifikatsvalidierung wird initiiert. Wenn die Validierung fehlschlägt (wenn Sie z. B. server.key für den privaten Schlüssel und ca.crt für das Zertifikat ausgewählt haben), wird eine Meldung angezeigt, dass der private Schlüssel und das Zertifikat nicht übereinstimmen.
- Wenn die Validierung erfolgreich abgeschlossen wurde, klicken Sie auf Finish.
- Wählen Sie auf der Registerkarte Certificate die Registerkarte Trust Certificate aus > Klicken Sie auf +Import. Der Assistent für den Zertifikatimport wird angezeigt.
- Geben Sie im Feld Alias einen Aliasnamen ein, Beispiel: trustedCA. Klicken Sie im Feld Fileauf Browse, um das entsprechende vertrauenswürdige Zertifikat zu suchen und zu importieren. In diesem Fall handelt es sich um die ca.crt-Datei auf dem Desktop. Klicken Sie auf Next.
- Klicken Sie auf Finish. Überprüfen Sie nach Abschluss des Imports die Details des vertrauenswürdigen Zertifikats unter der Registerkarte Trust Certificate.
- Klicken Sie auf Restart Services, um das Zertifikat anzuwenden, und klicken Sie dann auf Yes, um zu bestätigen, dass Sie die Services neu starten möchten.
(Hinweis: Apache Tomcat und MCS werden neu gestartet.)