NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "AUTHC" og "NWUI" (Windows)

Summary: Dette er de generelle trinnene for å erstatte det selvsignerte NetWorker-sertifikatet med et sertifikat som er signert av en sertifiseringsinstans (CA) for tjenestene "AUTHC" og "NWUI". Denne kunnskapsartikkelen gjelder når NetWorker-serveren og NetWorker Web User Interface-serveren (NWUI) er installert på Windows-operativsystemer. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Disse instruksjonene beskriver hvordan du erstatter et standard NetWorker selvsignert sertifikat med et CA-signert sertifikat for AUTHC- og NWUI-tjenestene på NetWorker-serveren.

Filnavnene har ikke et navnekrav, men utvidelsene skal refereres til for filtypen. Kommandoeksemplene som vises er for Windows. Hvis du vil ha Linux-instruksjoner, kan du se:
NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "Authc" og "NWUI" (Linux)
 

MERK: Prosessen som er skissert krever OpenSSL-kommandolinjeverktøyet. OpenSSL er ikke inkludert på Windows-operativsystemer som standard. Hvis OpenSSL-verktøyet ikke er installert, må du kontakte systemansvarlig for å installere OpenSSL før du fortsetter med denne KB-en.

Sertifikatfiler involvert:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Nøkkelbutikker involvert:

Butikknavn Standard bane
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
Cacerts C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
MERK: Banene som vises, er standard installasjonsbaner. Installasjonsbanen er imidlertid brukerdefinert og kan installeres et annet sted. Bruk installasjonsbanene fra serveren hvis det ikke ble brukt standardbaner. Java-banen NetWorker Runtime Environment (NRE) varierer avhengig av hvilken versjon av NRE som er installert, da dette også endrer versjonen av Java som er installert.

Før du begynner:

Opprett en kopi av følgende filer og mapper et annet sted:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Generer en privat nøkkel og en forespørsel om sertifikatsignering (CSR)-fil som du kan sende til sertifiseringsinstansen.

  1. Åpne en ledetekst for administrator, og kjør følgende kommandoer:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Send CSR-filen (<server>.csr) til sertifiseringsinstansen for å generere den CA-signerte sertifikatfilen (<server.crt>). Sertifiseringsinstansen må inneholde den CA-signerte sertifikatfilen (<server.crt>), rotsertifikatet (<CA.crt>) og eventuelle midlertidige CA-sertifikater (<ICA.crt>).

Trinn for forhåndsbekreftelse:

Du må kjenne til de riktige NetWorker-passordene for nøkkellagring. Disse passordene angis under AUTHC- og NWUI-konfigurasjonen. Hvis du ikke er sikker, kan du se:

For å forenkle trinnene og kommandoene som er beskrevet nedenfor, oppretter vi følgende variabler fra en administratorledetekst:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
MERK: Verdiene for disse variablene er miljøspesifikke. Du må angi verdiene i henhold til systembanene og legitimasjonen som brukes på systemet. Disse variablene er begrenset til ledetekstøkten. Når ledetekstvinduet lukkes, angis variablene. Hvis det er mer enn ett mellomliggende sertifikat, oppretter du variabler for hvert sertifikat: ICA1, ICA2 og så videre

Kontroller at du har følgende:

  • server.crt-fil, som inneholder et PEM-sertifikat der den første linjen er -----BEGIN CERTIFICATE----- og den siste linjen er -----END CERTIFICATE-----
  • Nøkkelfilen starter med -----BEGIN RSA PRIVATE KEY----- OG SLUTTER MED -----END RSA PRIVATE KEY-----
  • Bekreft at alle sertifikater er gyldige filer i PEM-format ved å kjøre openssl x509 -in <cert> -text -noout
  • Kontroller utdataene ovenfor for å være sikker på at det er riktig sertifikat.
  • Kontroller utdataene fra følgende to kommandoer: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Utdataene fra disse to kommandoene må samsvare.

Utskiftingstrinn for autorisasjonsservicesertifikat:

Informasjonen i authc Tjenesten trenger ikke å stoppes for at fremgangsmåten nedenfor skal fungere. Den må imidlertid startes på nytt for at de nye sertifikatene skal lastes inn.

  1. Importere sertifikatene:
  • Importer rotsertifikatet (<CA.crt) og eventuelle midlertidige CA-sertifikater> (<ICA.crt>) til authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Bruk NetWorker Server privatnøkkelfil (<server>.key) og den nye CA-signerte sertifikatfilen (<server.crt>) til å opprette en PKCS12-butikkfil for emcauthctomcat og emcauthcsaml Alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importer PKCS12-lagringsfilene til authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importer PKCS12-butikkfilene til authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Slett det selvsignerte NetWorker-standardsertifikatet, og importer det nye CA-signerte sertifikatet 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Til slutt importere dette sertifikatet til Java cacerts keystore filen under emcauthctomcat Alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Rediger verdien admin_service_default_url=localhost i filen C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties for å gjenspeile NetWorker-servernavnet som brukes i den CA-signerte sertifikatfilen:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. NetWorker-tjenestene må startes på nytt for at AUTHC skal kunne bruke det nye importerte sertifikatet.
net stop nsrd
net start nsrd
  1. Gjenopprette AUTHC-klarering på NetWorker-serveren:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHC post-verifikasjoner:

  1. Bekreft fingeravtrykket til sertifikatet som er importert:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Eksempel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Lag utdatafiler for cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Se gjennom utdatafilen, og bekreft at du ser emcauthctomcat oppføring og at sertifikatfingeravtrykket samsvarer med fingeravtrykket fra trinn 1:
sertifikat fingeravtrykk samsvarer med fingeravtrykk fra sertifikat importert
  1. Kontroller authc.truststore og authc.keystore, og bekreft at emcauthctomcat og emcauthcsaml Sertifikatfingeravtrykkene samsvarer med fingeravtrykket fra trinn 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Når AUTC-tjenesten er oppe og går, kan du kontrollere at sertifikatet den gir til en innkommende tilkobling, er det samme som ovenfor:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Eksempel: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorker-brukergrensesnitt (nwui) Trinn for utskifting av servicesertifikat:

Vi antar at nwui -tjenestene kjører på NetWorker-serveren.
  1. Stopp NWUI-tjenesten:
net stop nwui
  1. Slett standard NetWorker selvsignerte sertifikater, og importer den nye CA-signerte sertifikatfilen (<server.crt>) til cacerts-nøkkellageret. For konsistens erstatter vi alle nwui-relaterte sertifikater med CA-signert sertifikat.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Bruk NetWorker Server privatnøkkelfil (<server>.key) og den nye CA-signerte sertifikatfilen (<server.crt>) til å opprette en PKCS12-butikkfil for emcauthctomcat og emcauthcsaml Alias for NWUI Keystore.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
MERK: Passordet til pkcs12-filen må samsvare med passordet til nøkkellageret. Dette er grunnen til at vi i dette tilfellet lager det med nwui storepass.
  1. Importer .p12-filer, rot-CA-sertifikat og mellomliggende CA-sertifikater til NWUI-nøkkellageret.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Gi nytt navn til emcnwuimonitoring sertifikat, og legg serversertifikatet vårt her i denne banen med samme navn.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Start NWUI-tjenesten:
net start nwui

nwui Ettervurderinger:

  1. Bekreft fingeravtrykket til sertifikatet som er importert:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Eksempel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Lag utdatafiler for cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Se gjennom utdatafilen, og bekreft at du ser emcauthctomcat oppføring og at sertifikatfingeravtrykket samsvarer med fingeravtrykket fra trinn 1:
sertifikat fingeravtrykk samsvarer med fingeravtrykk fra sertifikat importert
  1. Sjekk nwui.keystore og bekreft at emcauthctomcat Sertifikatfingeravtrykkene samsvarer med fingeravtrykket fra trinn 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Når NWUI-tjenesten er oppe og går, kan du kontrollere at sertifikatet den gir til en innkommende tilkobling, er det samme som ovenfor:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Eksempel: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Trinn for utskifting av PostgreSQL-sertifikat

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Kontroller eierskapet til disse filene, og sørg for at de eies av systemkontoen LOKAL SERVICE.

server.crt eies av LOCAL SERVICE 

server.key eies av LOCAL SERVICE 
 Hvis fileierskapet er satt til en annen brukerkonto eller gruppe, oppdaterer du hver fil slik at de eies av "LOKAL TJENESTE"

Additional Information

Hvis du vil ha mer informasjon om hvordan du importerer et CA-signert sertifikat, kan du se veiledningen for sikkerhetskonfigurasjon for Dell NetWorker.

Prosessen for å erstatte det selvsignerte NetWorker Management Console-sertifikatet (NMC) med et CA-signert sertifikat er beskrevet i følgende KB:

NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.