NetWorker: AUTHC" ve "NWUI" için Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme (Windows)

Summary: Bunlar, varsayılan NetWorker kendinden imzalı sertifikasını "AUTHC" ve "NWUI" hizmetleri için Sertifika Yetkilisi (CA) imzalı bir sertifikayla değiştirmeye yönelik genel adımlardır. Bu KB, NetWorker sunucusu ve NetWorker Web Kullanıcı Arayüzü (NWUI) sunucusu Windows işletim sistemlerine yüklendiğinde geçerlidir. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Bu talimatlarda, NetWorker sunucusundaki AUTHC ve NWUI hizmetleri için varsayılan NetWorker kendinden imzalı sertifikasının CA tarafından imzalanmış bir sertifikayla nasıl değiştirileceği açıklanmaktadır.

Dosya adlarının adlandırma gereksinimi yoktur ancak dosya türü için uzantılar referans alınmalıdır. Gösterilen komut örnekleri Windows içindir. Linux talimatları için bkz.:
NetWorker: "Authc" ve "NWUI" için Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme (Linux)
 

NOT: Özetlenen işlem, OpenSSL komut satırı yardımcı programını gerektirir. OpenSSL, varsayılan olarak Windows işletim sistemlerine dahil değildir. OpenSSL yardımcı programı yüklü değilse, bu KB ye devam etmeden önce OpenSSL'yi yüklemek için sistem yöneticinize danışın.

İlgili Sertifika Dosyaları:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

İlgili Anahtar Depoları:

Mağaza Adı Varsayılan Yol
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Program Files\NRE\java\jre#.#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
NOT: Gösterilen yollar varsayılan yükleme yollarıdır; Ancak yükleme yolu kullanıcı tanımlıdır ve başka bir konuma kurulabilir. Varsayılan olmayan yollar kullanıldıysa sunucunuzdaki yükleme yollarını kullanın. NetWorker Çalışma Zamanı Ortamı (NRE) java yolu, kurulu NRE sürümüne bağlı olarak farklılık gösterir çünkü bu, yüklü java sürümünü de değiştirir.

Başlamadan önce:

Başka bir konumda aşağıdaki dosya ve klasörlerin bir kopyasını oluşturun:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Sertifika Yetkilinize sağlamak için bir özel anahtar ve sertifika imzalama isteği (CSR) dosyası oluşturun.

  1. Bir Yönetici komut istemi açın ve aşağıdaki komutları çalıştırın:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. CA imzalı sertifika dosyasını (<server>.crt) oluşturmak için CSR dosyasını (<server>.csr) CA'ya gönderin. CA, CA tarafından imzalanmış sertifika dosyasını (<server.crt>), kök sertifikayı (<CA.crt>) ve tüm ara CA sertifikalarını (<ICA.crt>) sağlamalıdır.

Ön doğrulama adımları:

Doğru NetWorker anahtar deposu parolalarını bilmeniz gerekir. Bu parolalar AUTHC ve NWUI yapılandırması sırasında ayarlanır. Emin değilseniz bkz.:

Aşağıda açıklanan adımları ve komutları kolaylaştırmak için bir yönetici komut isteminden aşağıdaki değişkenleri oluşturuyoruz:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
NOT: Bu değişkenlerin değerleri ortama özgüdür. Değerleri, sisteminizde kullanılan sistem yollarına ve kimlik bilgilerine uygun olarak ayarlamanız gerekir. Bu değişkenler komut istemi oturumuyla sınırlıdır. Komut istemi penceresi kapatıldığında değişkenlerin ayarı kaldırılır. Birden fazla ara sertifika varsa her sertifika için değişkenler oluşturun: ICA1, ICA2 vb.

Aşağıdakilere sahip olduğunuzdan emin olun:

  • İlk satırı -----BEGIN CERTIFICATE----- ve son satırı -----END CERTIFICATE olan bir PEM sertifikası içeren server.crt dosyası-----
  • Anahtar dosyası -----BEGIN RSA PRIVATE KEY----- ile başlar ve -----END RSA PRIVATE KEY ile biter-----
  • Aşağıdaki komutu çalıştırarak tüm sertifikaların geçerli PEM biçimli dosyalar olduğunu onaylayın: openssl x509 -in <cert> -text -noout
  • Doğru sertifika olduğundan emin olmak için yukarıdaki çıktıyı doğrulayın.
  • Aşağıdaki iki komutun çıktılarını kontrol edin: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Bu iki komutun çıktısı eşleşmelidir.

Auth Service Sertifikası Değiştirme Adımları:

Komutta authc Aşağıdaki prosedürün çalışması için hizmetin durdurulması gerekmez. Ancak yeni sertifikaların yüklenmesi için yeniden başlatılması gerekir.

  1. Sertifikaları içe aktarma:
  • Kök sertifikayı (<CA.crt>) ve tüm ara CA sertifikalarını (<ICA.crt>) authc.keystore içine aktarın:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Sunucu için bir PKCS12 depolama dosyası oluşturmak üzere NetWorker Sunucusu özel anahtar dosyasını (<server>.key) ve yeni CA imzalı sertifika dosyasını (<server.crt>) kullanın emcauthctomcat ve emcauthcsaml takma ad.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • PKCS12 deposu dosyalarını authc.keystore içine aktarın.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • PKCS12 deposu dosyalarını authc.truststore dizinine aktarın.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Varsayılan NetWorker kendinden imzalı sertifikasını silin ve CA imzalı yeni sertifikayı içe aktarın 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Son olarak bu sertifikayı şu adresteki Java cacerts anahtar deposu dosyasına aktarın: emcauthctomcat Takma ad:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. CA:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties dosyasındaki admin_service_default_url=localhost değerini, CA tarafından imzalanmış sertifika dosyasında kullanılan NetWorker Sunucusu adını yansıtacak şekilde düzenleyin:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. AUTHC'nin içe aktarılan yeni sertifikayı kullanabilmesi için NetWorker hizmetlerinin yeniden başlatılması gerekir.
net stop nsrd
net start nsrd
  1. NetWorker sunucusunda AUTHC güvenini yeniden kurun:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHC doğrulama sonrası:

  1. İçe aktarılan sertifikanın parmak izini doğrulayın:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Örneğin: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Cacerts için çıktı dosyaları oluşturma
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Çıktı dosyasını gözden geçirin ve emcauthctomcat girişi ve Sertifika parmak izinin 1. adımdaki parmak iziyle eşleştiğini:
Sertifika parmak izi, içe aktarılan sertifikadaki parmak iziyle eşleşiyor
  1. authc.truststore ve authc.keystore bilgilerini kontrol edin ve emcauthctomcat ve emcauthcsaml Sertifika parmak izleri 1. adımdaki parmak iziyle eşleşir:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. AUTHC hizmeti çalışır durumdayken gelen bağlantıya sağladığı sertifikanın yukarıdakiyle aynı olup olmadığını kontrol edebilirsiniz:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Örneğin: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorker Kullanıcı Arayüzü (nwui) Hizmet Belgesi Değiştirme Adımları:

Varsayıyoruz ki nwui hizmetleri NetWorker sunucusu üzerinde çalışmaktadır.
  1. NWUI hizmetini durdurun:
net stop nwui
  1. Varsayılan NetWorker kendinden imzalı sertifikalarını silin ve yeni CA imzalı sertifika dosyasını (<server>.crt) cacerts anahtar deposu aktarın. Tutarlılık sağlamak için nwui ile ilgili tüm sertifikaları CA imzalı sertifika ile değiştiriyoruz.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Sunucu için bir PKCS12 depolama dosyası oluşturmak üzere NetWorker Sunucusu özel anahtar dosyasını (<server>.key) ve yeni CA imzalı sertifika dosyasını (<server.crt>) kullanın emcauthctomcat ve emcauthcsaml NWUI anahtar deposunun diğer adı.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
NOT: pkcs12 dosya parolası, anahtar deposunun parolasıyla eşleşmek zorundadır. Bu nedenle, bu durumda parolayı nwui storepass ile oluşturuyoruz.
  1. .p12 dosyalarını, kök CA sertifikasını ve ara CA sertifikalarını nwui anahtar deposuna aktarın.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Şunu yeniden adlandırın: emcnwuimonitoring sertifikasını ekleyip sunucu sertifikamızı aynı adla bu yola koyun.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. NWUI hizmetini başlatın:
net start nwui

nwui Doğrulama sonrası:

  1. İçe aktarılan sertifikanın parmak izini doğrulayın:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Örneğin: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Cacerts için çıktı dosyaları oluşturma
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Çıktı dosyasını gözden geçirin ve emcauthctomcat girişi ve Sertifika parmak izinin 1. adımdaki parmak iziyle eşleştiğini:
Sertifika parmak izi, içe aktarılan sertifikadaki parmak iziyle eşleşiyor
  1. Nwui.keystore u kontrol edin ve emcauthctomcat Sertifika parmak izleri 1. adımdaki parmak iziyle eşleşir:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. NWUI hizmeti çalışır durumdayken gelen bağlantıya sağladığı sertifikanın yukarıdakiyle aynı olup olmadığını denetleyebilirsiniz:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Örneğin: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui PostgreSQL Sertifika Değiştirme Adımları

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Bu dosyaların sahipliğini kontrol edin ve YEREL SERVİS sistem hesabına ait olduklarından emin olun.

server.crt, LOCAL SERVICE'e aittir 

server.key LOCAL SERVICE'e aittir 
 Dosya sahipliği başka bir kullanıcı hesabına veya grubuna ayarlanmışsa her dosyayı "LOCAL SERVICE"e ait olacak şekilde güncelleyin

Additional Information

CA imzalı bir sertifikayı içe aktarma hakkında daha fazla bilgi için bkz. Dell NetWorker Güvenlik Yapılandırma Kılavuzu.

NetWorker Management Console (NMC) kendinden imzalı sertifikasını CA imzalı bir sertifikayla değiştirme süreci aşağıdaki KB'de ayrıntılı olarak açıklanmıştır:

NetWorker: NMC İçin Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.