NetWorker: Importieren oder Ersetzen von durch die Zertifizierungsstelle signierten Zertifikaten für „Authc“ und „NWUI“ (Linux)

In diesen Anweisungen wird beschrieben, wie Sie das standardmäßige selbstsignierte NetWorker-Zertifikat durch ein CA-signiertes Zertifikat für die authc und nwui Services auf dem NetWorker-Server.

Die Dateinamen müssen nicht benannt werden, aber die Erweiterungen sollten für den Dateityp referenziert werden. Die gezeigten Befehlsbeispiele gelten für Linux. Windows-Anweisungen finden Sie unter:.
NetWorker: Importieren oder Ersetzen von durch die Zertifizierungsstelle signierten Zertifikaten für „Authc“ und „NWUI“ (Windows)
 

Beteiligte Zertifikatdateien:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Beteiligte Keystores:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Erzeugen Sie einen privaten Schlüssel und eine CSR-Datei (Certificate Signing Request), die Sie Ihrer Zertifizierungsstelle zur Verfügung stellen.

• Verwenden Sie das OpenSSL-Befehlszeilendienstprogramm, um die private Schlüsseldatei für den NetWorker-Server (<server>.key) und CSR-Datei (<server>.csr).

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• Senden Sie die CSR-Datei (<server>.csr) an die CA, um die von der CA signierte Zertifikatdatei (<server>.crt). Die Zertifizierungsstelle sollte die von der Zertifizierungsstelle signierte Zertifikatdatei (<server>.crt), das Stammzertifikat (<CA>.crt) und alle CA-Zwischenzertifikate (<ICA>.crt).

Schritte zur Vorüberprüfung:

Stellen Sie sicher, dass Sie über Folgendes verfügen:

• server.crt, die ein PEM-Zertifikat enthält, dessen erste Zeile -----BEGIN CERTIFICATE----- und die letzte Zeile -----END CERTIFICATE lautet-----
• Die Schlüsseldatei beginnt mit -----BEGIN RSA PRIVATE KEY----- und endet mit -----END RSA PRIVATE KEY-----
• Bestätigen Sie, dass alle Zertifikate gültige PEM-Formatdateien sind, indem Sie Folgendes ausführen: openssl x509 -in <cert> -text -noout.
• Überprüfen Sie die obige Ausgabe, um sicherzustellen, dass es sich um das richtige Zertifikat handelt.
• Überprüfen Sie die Ausgabe der folgenden beiden Befehle:

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  Die Ausgabe dieser beiden Befehle muss übereinstimmen.

Um die unten beschriebenen Schritte und Befehle zu ermöglichen, erstellen wir die folgenden Variablen:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Wenn mehr als ein Zwischenzertifikat vorhanden ist, erstellen Sie Variablen für jedes Zertifikat: ICA1, ICA2 usw

. Sie müssen die korrekten NetWorker-Keystore-Kennwörter kennen. Diese Kennwörter werden während der AUTHC- und NWUI-Konfiguration festgelegt. Wenn Sie sich nicht sicher sind, finden Sie weitere Informationen unter:

• So rufen Sie das Keystore-Kennwort für die NetWorker-Authentifizierung und den NWUI-Service ab

Sie können auch Ihre Keystore-Pass-Variablen verwenden (Option 1) oder sie in einer Datei speichern, um das Kennwort verborgen zu halten (Option 2):
Beispiel für Option 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Beispiel für Option 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Bevor Sie beginnen:

Erstellen Sie eine Sicherungskopie des Keystore und der Konfigurationsdateien, die aktualisiert werden.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

Schritte zum Austausch des Authentifizierungsservicezertifikats:

Die Spalte authc Der Service muss nicht beendet werden, damit das folgende Verfahren funktioniert. Es muss jedoch neu gestartet werden, damit die neuen Zertifikate geladen werden können.

1. Importieren der Zertifikate

   • Importieren Sie das Stammzertifikat (<CA>.crt) und etwaige CA-Zwischenzertifikate (<ICA>.crt) in die authc.keystore.

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • Verwenden Sie die private Schlüsseldatei für den NetWorker-Server (<server>.key) und die neue CA-signierte Zertifikatdatei (<server>.crt), um eine PKCS12-Speicherdatei für die emcauthctomcat und emcauthcsaml alias.

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     HINWEIS: Das Kennwort für die pkcs12-Datei muss mit dem Kennwort des Keystore übereinstimmen. Aus diesem Grund erstellen wir es in diesem Fall mit dem authc storepass.

   • Importieren Sie die PKCS12-Speicherdateien in das authc.keystore.

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Importieren Sie die PKCS12-Speicherdateien in das authc.truststore.

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Löschen Sie das standardmäßige selbstsignierte NetWorker-Zertifikat und importieren Sie die neue CA-signierte Zertifikatdatei (<server>.crt) in die authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • Importieren Sie abschließend dieses Zertifikat in die Java cacerts-Keystore-Datei unter emcauthctomcat alias:

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

2. Bearbeiten Sie die admin_service_default_url=localhost Wert in der authc-cli-app.properties -Datei, um den NetWorker-Servernamen widerzuspiegeln, der in der von der Zertifizierungsstelle signierten Zertifikatdatei verwendet wird:

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. Ein Neustart der NetWorker-Services ist erforderlich für authc , um das neue importierte Zertifikat zu verwenden.

nsr_shutdown 
systemctl start networker

4. Neu einrichten authc Vertrauensstellung auf dem NetWorker-Server:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc-Nachprüfungen:

Die Ausgabe der einzelnen Alias "Certificate fingerprint" stimmt mit denen der anderen Keystores überein:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Die Ausgabe sollte in etwa wie folgt aussehen:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Dieser Fingerabdruck stammt aus dem Zertifikat, das installiert wurde. Dies weist darauf hin, dass die Einführung des neuen Zertifikats in den verschiedenen Keystores korrekt durchgeführt wurde.

openssl x509 -in $cert -fingerprint -sha256 -noout

Wenn die authc Service betriebsbereit ist, können Sie überprüfen, ob das Zertifikat, das er für eine eingehende Verbindung bereitstellt, mit dem oben genannten übereinstimmt:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Der obige Befehl wurde vom NetWorker-Server selbst ausgeführt, sodass eine Verbindung zu localhost hergestellt wird. Verbindungen von außen <nw server name>:9090
 

NetWorker-Benutzeroberfläche (nwui) Schritte zum Austausch des Servicezertifikats:

Wir gehen davon aus, dass die nwui Services werden auf dem NetWorker-Server ausgeführt.

• Beenden Sie die nwui Dienst

  systemctl stop nwui

• Löschen Sie die selbstsignierten NetWorker-Standardzertifikate und importieren Sie die neue CA-signierte Zertifikatdatei (<server>.crt) in den Cacerts-Keystore. Aus Gründen der Konsistenz ersetzen wir alle nwui-verknüpften Zertifikate mit dem CA-signierten Zertifikat.

  • Vor dem Ausführen der folgenden Schritte muss ermittelt werden, ob NetWorker Runtime Environment (NRE) oder Java Runtime Environment (JRE) verwendet wird.
  • Wenn JRE verwendet wird, lautet der Pfad von /cacerts unter $java_bin/../lib/security/cacerts.
  • Wenn NRE verwendet wird, befindet sich der Pfad von /cacerts unter /opt/nre/java/latest/lib/security/cacerts.

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

• Verwenden Sie die private Schlüsseldatei für den NetWorker-Server (<server>.key) und die neue CA-signierte Zertifikatdatei (<server>.crt), um eine PKCS12-Speicherdatei für die emcauthctomcat und emcauthcsaml Alias für die nwui -Keystore der Laufzeitumgebung des Authentifizierungsservice.

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  HINWEIS: Das Kennwort für die pkcs12-Datei muss mit dem Kennwort des Keystore übereinstimmen. Aus diesem Grund erstellen wir es in diesem Fall mit dem nwui storepass.

• Importieren Sie die .p12-Dateien, das Stamm-CA-Zertifikat und die CA-Zwischenzertifikate in das nwui -Keystore der Laufzeitumgebung des Authentifizierungsservice.

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• Benennen Sie die emcnwuimonitoring, emcnwuiauthcund emcnwuiserv Zertifikate und legen Sie unser Serverzertifikat hier in diesem Pfad mit dem gleichen Namen ab.

  mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer
  
  mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

• Starten Sie die nwui Dienste

  systemctl start nwui

nwui Nachträgliche Überprüfungen:

Die Ausgabe der einzelnen Alias "Certificate fingerprint" stimmt mit denen der anderen Keystores überein:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Dieser Fingerabdruck stammt aus dem Zertifikat, das installiert wurde. Dies weist darauf hin, dass die Einführung des neuen Zertifikats in den verschiedenen Keystores korrekt durchgeführt wurde.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Schritte zum Austausch des PostgreSQL-Zertifikats

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

Weitere Informationen zum Importieren eines CA-signierten Zertifikats finden Sie im Dell NetWorker Sicherheitskonfigurationsleitfaden.

Der Prozess zum Ersetzen des selbstsignierten NMC-Zertifikats (NetWorker Management Console) durch ein von einer Zertifizierungsstelle signiertes Zertifikat ist im folgenden Wissensdatenbank-Artikel beschrieben:

NetWorker: Importieren oder Ersetzen von durch die Zertifizierungsstelle signierten Zertifikaten für NMC