NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "AUTHC" og "NWUI" (Windows)

Summary: Dette er de generelle trin til at erstatte det selvsignerede NetWorker-standardcertifikat med et CA-signeret certifikat (Certificate Authority) for tjenesterne "AUTHC" og "NWUI". Denne KB gælder, når NetWorker-serveren og NetWorker-serveren Web User Interface (NWUI)-serveren er installeret på Windows-operativsystemer. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Disse instruktioner beskriver, hvordan du erstatter det selvsignerede NetWorker-standardcertifikat med et CA-signeret certifikat for AUTHC- og NWUI-tjenesterne på NetWorker-serveren.

Filnavnene har ikke et navngivningskrav, men der skal refereres til filtypenavnene for filtypen. De viste kommandoeksempler er til Windows. Du kan finde Linux-instruktioner under:
NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Linux)
 

BEMÆRK: Den beskrevne proces kræver OpenSSL-kommandolinjeværktøjet. OpenSSL er som standard ikke inkluderet i Windows-operativsystemer. Hvis OpenSSL-hjælpeprogrammet ikke er installeret, skal du kontakte systemadministratoren for at installere OpenSSL, før du fortsætter med denne KB.

Involverede certifikatfiler:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Nøglebutikker involveret:

Butiksnavn Standardsti
authc.keystore C:\Programmer\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
CACERTS C:\Program Files\NRE\java\jre#.#_####\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
BEMÆRK: De viste stier er standardinstallationsstier. Installationsstien er dog brugerdefineret og kan installeres et andet sted. Brug installationsstierne fra din server, hvis der blev brugt ikke-standardstier. Java-stien til NetWorker Runtime Environment (NRE) varierer afhængigt af den installerede version af NRE, da dette også ændrer den installerede version af java.

Før du starter:

Opret en kopi af følgende filer og mapper et andet sted:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Generer en privat nøgle og CSR-fil (anmodning om certifikatsignering), som skal leveres til dit nøglecenter.

  1. Åbn en administratorkommandoprompt, og kør følgende kommandoer:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Send CSR-filen (<server>.csr) til nøglecenteret for at generere den CA-signerede certifikatfil (<server.crt>). CA skal levere den CA-signerede certifikatfil (<server.crt>), rodcertifikatet (<CA.crt>) og eventuelle mellemliggende CA-certifikater (<ICA.crt>).

Trin til forudgående bekræftelse:

Du skal kende de korrekte NetWorker-adgangskoder til nøglelageret. Disse adgangskoder indstilles under AUTHC- og NWUI-konfiguration. Hvis du ikke er sikker, kan du se:

For at lette de trin og kommandoer, der er beskrevet nedenfor, opretter vi følgende variabler fra en administratorkommandoprompt:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
BEMÆRK: Værdierne for disse variabler er miljøspecifikke. Du skal angive værdierne i overensstemmelse med de systemstier og legitimationsoplysninger, der bruges på systemet. Disse variabler er begrænset til kommandopromptsessionen. Når kommandopromptvinduet er lukket, fjernes variablerne. Hvis der er mere end ét mellemliggende certifikat, skal du oprette variabler for hvert certifikat: ICA1, ICA2 osv

Sørg for, at du har følgende:

  • server.crt-fil, som indeholder et PEM-certifikat, hvis første linje er -----BEGIN CERTIFICATE----- og den sidste linje er -----END CERTIFICATE-----
  • Nøglefilen starter med -----BEGIN RSA PRIVATE KEY----- og slutter med -----END RSA PRIVATE KEY-----
  • Bekræft, at alle certifikater er gyldige PEM-formatfiler ved at køre openssl x509 -in <cert> -text -noout
  • Kontroller ovenstående output for at være sikker på, at det er det rigtige certifikat.
  • Kontroller outputtet af følgende to kommandoer: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Outputtet af disse to kommandoer skal stemme overens.

Trin til udskiftning af godkendelsesservicecertifikat:

Ikonet authc Servicen behøver ikke at blive stoppet, for at nedenstående procedure fungerer. Den skal dog genstartes, for at de nye certifikater kan indlæses.

  1. Import af certifikater:
  • Importer rodcertifikatet (<CA.crt>) og eventuelle mellemliggende CA-certifikater (<ICA.crt>) til authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Brug den private NetWorker Server-nøglefil (<server>.key) og den nye CA-signerede certifikatfil (<server.crt>) til at oprette en PKCS12-lagerfil til emcauthctomcat og emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importer PKCS12-lagerfilerne til authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importer PKCS12-lagerfilerne til authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Slet det selvsignerede NetWorker-standardcertifikat, og importér det nye CA-signerede 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Endelig importerer dette certifikat til Java cacerts keystore-filen under emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Rediger værdien admin_service_default_url=localhost i filen C:\Programmer\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties , så den afspejler det NetWorker-servernavn, der bruges i den CA-signerede certifikatfil:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. En genstart af NetWorker-tjenester er nødvendig, for at AUTHC kan bruge det nye importerede certifikat.
net stop nsrd
net start nsrd
  1. Genopret AUTHC-tillid til NetWorker-serveren:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHC efter verificeringer:

  1. Bekræft fingeraftrykket af det importerede certifikat:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Eksempel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Opret outputfiler til cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Gennemse outputfilen, og bekræft, at du ser emcauthctomcat indtastning, og at certifikatfingeraftrykket matcher fingeraftrykket fra trin 1:
Certifikatfingeraftryk matcher fingeraftryk fra importeret certifikat
  1. Kontroller authc.truststore og authc.keystore , og bekræft, at ikonet emcauthctomcat og emcauthcsaml Certifikatfingeraftryk matcher fingeraftrykket fra trin 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Når AUTHC-tjenesten kører, kan du kontrollere, at det certifikat, den leverer til en indgående forbindelse, er det samme som ovenstående:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Eksempel: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorker-brugergrænseflade (nwui) Trin til udskiftning af servicecertifikat:

Vi går ud fra, at nwui tjenester kører på NetWorker-serveren.
  1. Stop NWUI-tjenesten:
net stop nwui
  1. Slet NetWorkers selvsignerede standardcertifikater, og importér den nye CA-signerede certifikatfil (<server.crt>) til cacerts-nøglelageret. For at sikre ensartethed erstatter vi alle nwui-relaterede certifikater med det CA-signerede certifikat.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Brug den private NetWorker Server-nøglefil (<server>.key) og den nye CA-signerede certifikatfil (<server.crt>) til at oprette en PKCS12-lagerfil til emcauthctomcat og emcauthcsaml Alias for NWUI KeyStore.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
BEMÆRK: Adgangskoden til filen pkcs12 skal svare til adgangskoden til nøglelageret. Dette er grunden til, at vi i dette tilfælde opretter det med nwui storepass.
  1. Importer .p12-filerne, CA-rodcertifikatet og mellemliggende CA-certifikater til nwui-nøglelageret.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Omdøb emcnwuimonitoring certifikat, og sæt vores servercertifikat her i denne sti med samme navn.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Start NWUI-tjenesten:
net start nwui

nwui Efterfølgende kontrolbesøg:

  1. Bekræft fingeraftrykket af det importerede certifikat:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Eksempel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Opret outputfiler til cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Gennemse outputfilen, og bekræft, at du ser emcauthctomcat indtastning, og at certifikatfingeraftrykket matcher fingeraftrykket fra trin 1:
Certifikatfingeraftryk matcher fingeraftryk fra importeret certifikat
  1. Kontroller nwui.keystore, og bekræft, at ikonet emcauthctomcat Certifikatfingeraftryk matcher fingeraftrykket fra trin 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Når NWUI-tjenesten kører, kan du kontrollere, at det certifikat, den leverer til en indgående forbindelse, er det samme som ovenstående:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Eksempel: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Trin til udskiftning af PostgreSQL-certifikat

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Kontroller ejerskabet af disse filer, og sørg for, at de ejes af systemkontoen LOCAL SERVICE.

server.crt ejes af LOCAL SERVICE 

server.key ejes af LOCAL SERVICE 
 Hvis filejerskabet er angivet til en anden brugerkonto eller gruppe, skal du opdatere hver fil, så de ejes af "LOCAL SERVICE"

Additional Information

Du kan finde flere oplysninger om import af et CA-signeret certifikat i sikkerhedskonfigurationsvejledningen til Dell NetWorker.

Processen for udskiftning af det selvsignerede NMC-certifikat (NetWorker Management Console) med et CA-signeret certifikat er beskrevet i følgende KB:

NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater til NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.