NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro služby „AUTHC“ a „NWUI“ (Linux)

Tyto pokyny popisují, jak nahradit výchozí certifikát NetWorker podepsaný držitelem certifikátem podepsaným certifikační autoritou pro služby ověřování NetWorker (AUTHC) a webového uživatelského rozhraní NetWorker (NWUI) na serveru NetWorker.

Názvy souborů nemají požadavek na pojmenování, ale pro typ souboru by měly být uvedeny přípony. Uvedené příklady příkazů jsou určeny pro systém Linux. Pokyny pro Windows naleznete v tématu:
NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro služby „AUTHC“ a „NWUI“ (Windows)
 

Dotčené soubory certifikátů:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Zapojená úložiště klíčů:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Vygenerujte soukromý klíč a soubor požadavku na podpis certifikátu (CSR), který poskytnete své certifikační autoritě.

• Pomocí nástroje příkazového řádku OpenSSL vytvořte soubor privátního klíče serveru NetWorker (<server>.key) a soubor CSR (<server>.csr).

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• Odešlete soubor CSR (<server>.csr) certifikační autoritě, aby vygenerovala soubor certifikátu podepsaný certifikační autoritou (<server>.crt). Certifikační autorita by měla poskytnout soubor certifikátu podepsaný certifikační autoritou (<server>.crt), kořenový certifikát (<CA>.crt) a všechny certifikáty zprostředkující certifikační autority (<ICA>.crt).

Kroky předběžného ověření:

Ujistěte se, že máte následující:

• server.crt, který obsahuje certifikát PEM, jehož první řádek je -----BEGIN CERTIFICATE----- a poslední řádek je -----END CERTIFICATE-----
• Soubor klíče začíná -----BEGIN RSA PRIVATE KEY----- a končí -----END RSA PRIVATE KEY-----
• Potvrďte, že všechny certifikáty jsou platnými soubory ve formátu PEM, a to spuštěním příkazu openssl x509 -in <cert> -text -noout.
• Ověřte výše uvedený výstup, abyste se ujistili, že se jedná o správný certifikát.
• Zkontrolujte výstup následujících dvou příkazů:

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  Výstup těchto dvou příkazů se musí shodovat.

Abychom usnadnili níže popsané kroky a příkazy, vytvoříme následující proměnné:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Pokud existuje více než jeden zprostředkující certifikát, vytvořte proměnné pro každý certifikát: ICA1, ICA2 atd

. Je nutné znát správná hesla úložiště klíčů NetWorker. Tato hesla se nastavují během konfigurace AUTHC a NWUI. Pokud si nejste jisti, přečtěte si článek:

• Jak načíst ověřování NetWorker a heslo úložiště klíčů služby NWUI

Můžete také použít proměnné předávacího úložiště klíčů (možnost 1) nebo je uložit do souboru, aby heslo zůstalo skryté (možnost 2):
Příklad pro možnost 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Příklad možnosti 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Než začnete:

Vytvořte záložní kopii souboru Java cacerts. 

cp -p /opt/nre/java/latest/lib/security/cacerts /tmp/cacerts_$(date -I).bkp

Postup výměny certifikátu služby Auth:

Skript authc Aby níže uvedené postupy fungovaly, není nutné službu zastavovat. Aby se však nové certifikáty načetly, je nutné jej restartovat.

1. Import certifikátů

   • Import kořenového certifikátu (<CA>.crt) a všechny certifikáty zprostředkujících certifikačních autorit (<ICA>.crt) do authc.keystore.

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • Použijte soubor soukromého klíče serveru NetWorker (<server>.key) a nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) pro vytvoření PKCS12 store file pro emcauthctomcat a emcauthcsaml Alias.

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     POZNÁMKA: Heslo souboru pkcs12 se musí shodovat s heslem úložiště klíčů. To je důvod, proč jej v tomto případě vytváříme pomocí authc storepass.

   • Importujte soubory z úložiště PKCS12 do authc.keystore.

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Importujte soubory z úložiště PKCS12 do authc.truststore.

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Odstraňte výchozí certifikát NetWorker podepsaný držitelem a importujte nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) do authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • Nakonec tento certifikát importujte do souboru úložiště klíčů Java cacerts v části emcauthctomcat Alias:

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

     POZNÁMKA: Pokud používáte nástroj NetWorker 19.13 (nebo novější), keytool Příkazy mohou při importu vracet varování cacerts Certifikáty. Upozornění uvádí, že je třeba použít -cacerts namísto -keystore. To můžete bez obav ignorovat i přes upozornění, syntaxe uvedená v tomto článku přesto importuje certifikáty. Alternativou je nahradit "-keystore $java_bin/../lib/security/cacerts" s "-cacerts" v příkazech; Tím se upozornění odstraní.

2. Upravte admin_service_default_url=localhost v poli authc-cli-app.properties tak, aby odrážel název serveru NetWorker použitý v souboru certifikátu podepsaném certifikační autoritou:

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. Je vyžadováno restartování služeb NetWorker pro authc , chcete-li použít nový importovaný certifikát.

nsr_shutdown 
systemctl start networker

4. Obnovit authc Důvěryhodnost serveru NetWorker:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Následná ověření AUTHC:

Výstup každého aliasu otisku certifikátu se shoduje s výstupy ostatních úložišť klíčů:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Výstup by se měl podobat tomuto:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Tento otisk pochází z certifikátu, který byl nainstalován. To znamená, že zavedení nového certifikátu v různých úložištích klíčů proběhlo správně.

openssl x509 -in $cert -fingerprint -sha256 -noout

Až se authc Služba je v provozu, můžete zkontrolovat, zda je certifikát, který poskytuje příchozímu připojení, stejný jako výše uvedený:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

Případně můžete zkontrolovat předmět a vydavatele certifikátu používaného portem 9090:

openssl s_client -connect localhost:9090 -showcerts 2>/dev/null </dev/null | grep -E "issuer|subject"

Uživatelské rozhraní nástroje NetWorker (nwui) Postup výměny servisního certifikátu:

Předpokládáme, že nwui služby jsou spuštěny na serveru NetWorker.

• Zastavte nwui Služby

  systemctl stop nwui

• Odstraňte výchozí certifikáty NetWorker podepsané držitelem a importujte nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) do úložiště klíčů cacerts. Kvůli konzistenci nahrazujeme všechny nwui-související certifikáty s certifikátem podepsaným certifikační autoritou.

  • Před provedením následujících kroků je nutné určit, zda se používá prostředí NetWorker Runtime Environment (NRE) nebo Java Runtime Environment (JRE).
  • Pokud se použije JRE, cesta k /cacerts je na adrese $java_bin/../lib/security/cacerts.
  • Pokud se použije prostředí NRE, cesta k umístění /cacerts je na adrese /opt/nre/java/latest/lib/security/cacerts.

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

    POZNÁMKA: Pokud používáte nástroj NetWorker 19.13 (nebo novější), keytool Příkazy mohou při importu vracet varování cacerts Certifikáty. Upozornění uvádí, že je třeba použít -cacerts namísto -keystore. To můžete bez obav ignorovat i přes upozornění, syntaxe uvedená v tomto článku přesto importuje certifikáty. Alternativou je nahradit "-keystore $java_bin/../lib/security/cacerts" s "-cacerts" v příkazech; Tím se upozornění odstraní.

• Použijte soubor soukromého klíče serveru NetWorker (<server>.key) a nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) pro vytvoření PKCS12 store file pro emcauthctomcat a emcauthcsaml alias pro nwui .

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  POZNÁMKA: Heslo souboru pkcs12 se musí shodovat s heslem úložiště klíčů. To je důvod, proč jej v tomto případě vytváříme pomocí nwui storepass.

• Importujte soubory .p12, certifikát kořenové certifikační autority a certifikáty zprostředkující certifikační autority do nwui .

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• Přejmenujte binární soubor emcnwuimonitoring, emcnwuiauthca emcnwuiserv certifikáty, a vložte sem náš serverový certifikát se stejným názvem. Budete vyzváni k přepsání původních souborů (tím zůstane zachováno stávající vlastnictví a oprávnění).

  cp -p /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv -p /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  
  cp -p /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer

  POZNÁMKA: Budete vyzváni k přepsání původních souborů (tím zůstane zachováno stávající vlastnictví a oprávnění).

• nwui Postup výměny certifikátu PostgreSQL

  cp -p $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
  cp -p $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
  cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
  cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

  POZNÁMKA: Budete vyzváni k přepsání původních souborů (tím zůstane zachováno stávající vlastnictví a oprávnění).

• Spusťte nwui Služby

  systemctl start nwui

nwui Následná ověření:

Výstup každého aliasu otisku certifikátu se shoduje s výstupy ostatních úložišť klíčů:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Tento otisk pochází z certifikátu, který byl nainstalován. To znamená, že zavedení nového certifikátu v různých úložištích klíčů proběhlo správně.

openssl x509 -in $cert -fingerprint -sha256 -noout

Případně můžete zkontrolovat předmět a vydavatele certifikátu používaného portem 9090:

openssl s_client -connect localhost:9095 -showcerts 2>/dev/null </dev/null | grep -E "issuer|subject"

NetWorker Management Console:

Tomuto tématu se věnuje článek: NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro službu NMC

NetWorker HSTS (HTTP Strict Transport Security):

NetWorker: Jak povolit konfiguraci HSTS v serveru NetWorker Apache Tomcat

Následující pokyny lze použít pro návrat k cacerts Kopie souboru vytvořená před provedením tohoto článku. Následující proces také obnoví nástroj NetWorker na používání výchozích certifikátů podepsaných držitelem pro nástroje AUTHC a NWUI. 

1. Ujistěte se, že máte záložní kopii. Pokud byl použit příkaz Before you start , měli byste mít datovanou kopii Javy cacerts souboru v adresáři serveru /tmp adresáře. Například:

[root@nsr ~]# ls -l /tmp | grep cacerts
-rwxr-xr-x. 1 root      root      129266 Mar 23 14:44 cacerts_2026-03-23.bkp

2. Zastavte služby NetWorker:

systemctl stop nwui
nsr_shutdown

3. Ověřte, zda nejsou spuštěny služby NetWorker:

systemctl status networker
systemctl status nwui

4. Zkopírujte soubory cacerts zpět do původního umístění:

rsync -a --no-perms --no-owner --no-group /tmp/cacerts_<date>.bkp /opt/nre/java/latest/lib/security/cacerts

5. Znovu spusťte authc_configure.sh skript a zadejte možnost vytvoření nového úložiště klíčů. Příklad:

[root@nsr ~]# /opt/nsr/authc-server/scripts/authc_configure.sh

Specify the directory where the Java Standard Edition Runtime Environment (JRE) software is installed [/opt/nre/java/latest]:

The installation process will install an Apache Tomcat instance.
For optimum security, EMC NetWorker Authentication Service will
use a non-root user (nsrtomcat) to start the Apache Tomcat instance.
If your system has special user security requirements, ensure that proper
operational permissions are granted to this non-root user (nsrtomcat).
Please refer to NetWorker Installation Guide.

The Apache Tomcat will use "nsr.amer.lan" as the host name.
The Apache Tomcat will use "9090" as the port number.

The NetWorker Authentication Service requires a keystore file to configure encryption and to provide SSL support.

EMC recommends that you specify a keystore password that has a minimum of six characters.

Do you want to use the existing keystore /nsr/authc/conf/authc.keystore [y]? n

The installation process will create a new keystore file.

Specify the keystore password: HIDDEN_PASSWORD
Confirm the password: HIDDEN_PASSWORD

Creating the installation log in /opt/nsr/authc-server/logs/install.log.

Performing initialization. Please wait...


The installation completed successfully.

6. Spusťte služby serveru NetWorker:

systemct start networker

7. Pomocí příkazu nwui_configure.sh skript a zadejte možnost vytvoření nového úložiště klíčů. Příklad:

[root@nsr ~]# mv /nsr/nwui /nsr/nwui_$(date -I).bak
[root@nsr ~]# /opt/nwui/scripts/nwui_configure.sh

Specify the directory where the Java Standard Edition Runtime Environment (JRE) software is installed [/opt/nre/java/latest]:

Specify the host name of the NetWorker Authentication Service host [nsr.amer.lan]:

Specify the host name of the NetWorker Server to be Managed by NWUI [nsr.amer.lan]:

Specify the AUTHC port for Networker Server which is managed by NWUI [9090]:

The NetWorker Web UI Server requires a keystore file to configure encryption and to provide SSL support.
EMC recommends that you specify a password that has a minimum of nine characters,
with at least one upper case letter, one lower case letter, one number and one special character.

The installation process will create a new keystore file.

Specify the keystore password: HIDDEN_PASSWORD
Confirm the password: HIDDEN_PASSWORD

9. Spusťte službu NWUI:

systemctl start nwui

10. Ověřte, že se spustily služby:

systemctl status networker
systemctl status nwui

Server by měl fungovat s výchozími certifikáty podepsanými svým držitelem, které nástroj NetWorker nasazuje ve výchozím nastavení.