NetWorker:authcコマンドが「unable to find valid certification path」で失敗する

Summary: NetWorkerの「unable to find valid certification path to requested target」というレポートで、authc_configコマンドとauthc_mgmt コマンドが失敗します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • NetWorkerサーバーは、スタンドアロン(クラスター化されていない)システムに導入されます。
  • NetWorker authコマンド(authc_configauthc_mgmt)が失敗し、次のエラーが報告されます。
[root@networker-mc bin]# authc_mgmt -u administrator -e find-all-users
Enter password: 
ERROR [main] (DefaultLogger.java:190) - Error executing command. Failure: I/O error on POST request for https://localhost:9090/auth-server/api/v1/sec/authenticate [localhost]: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target; nested exception is javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

 

  • この問題は、ローカルNetWorker認証または外部(LDAP)認証のどちらを使用している場合でも発生します。

 

Cause

emcauthctomcat証明書の署名に不一致があります。emcauthctomcatは、NetWorkerの導入時にデフォルトで構成されます。この証明書は、次の3つの場所に存在します。

Linuxの場合

  • /nsr/authc/conf/authc.keystore
  • /opt/nsr/authc-server/conf/authc.truststore
  • /opt/nre/java/latest/lib/security/cacerts

 

Windowsの場合:

  • C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
  • C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
  • C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts

 

[root@networker-mc bin]# ./keytool -list -keystore /opt/nre/java/latest/lib/security/cacerts -storepass changeit | grep -A1 emcauth 
emcauthctomcat, Oct 7, 2022, trustedCertEntry, 
Certificate fingerprint (SHA-256): 3B:18:1E:DF:39:ED:5B:4B:CF:9F:92:22:E8:D9:96:54:E0:21:A4:EB:06:D6:36:32:03:76:5E:CC:BA:B1:15:6B

[root@networker-mc bin]# ./keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore  | grep -A1 emcauthctom 
Enter keystore password:  
emcauthctomcat, Oct 7, 2022, trustedCertEntry, 
Certificate fingerprint (SHA-256): 3B:18:1E:DF:39:ED:5B:4B:CF:9F:92:22:E8:D9:96:54:E0:21:A4:EB:06:D6:36:32:03:76:5E:CC:BA:B1:15:6B

[root@networker-mc bin]# ./keytool -list -keystore /nsr/authc/conf/authc.keystore | grep -A1 emcauthctomcat
Enter keystore password: 
emcauthctomcat, Jun 29, 2022, PrivateKeyEntry, 
Certificate fingerprint (SHA-256): 93:97:0D:ED:DF:B1:73:62:D0:E1:95:C9:EB:67:3E:EE:4D:2E:55:9F:D7:9D:5E:FD:CE:81:E3:88:23:8E:0C:C9

 

Resolution

証明書の不一致を修正します。

  1. 既存のキーストア ファイルのコピーを作成します。
    Linuxの場合

    • /nsr/authc/conf/authc.keystore
    • /opt/nsr/authc-server/conf/authc.truststore
    • /opt/nre/java/latest/lib/security/cacerts

    Windowsの場合:

    • C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
    • C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
    • C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts

     

    メモ: cacertsファイルは、authcの構成されたJREインスタンスにあります。上記のパスは、NetWorker Runtime Environment(NRE)がインストールされている場合です。Oracle Java JREがインストールされている場合、cacertsファイルは.の下のJavaインストール パスにあります。\lib\security\cacerts。

  2. NetWorkerサーバーで、adminまたはrootコマンド プロンプトを開きます。

  3. NetWorkerサーバー サービスを停止します。
    Linux: nsr_shutdown
    Windowsnet stop nsrd

  4. ディレクトリを JRE \bin dir に変更します。

  5. 次のコマンド構文を使用して、不一致が見られるキーストアの場所からemcauthctomcat証明書を削除します。

    Linuxの場合
    ./keytool -delete -alias emcauthctomcat -keystore /path/to/keystore -storepass password

    Windowsの場合:
    keytool -delete -alias emcauthctomcat -keystore "C:\path\to\keystore" -storepass password

    メモ: NREまたはOracle jreのどちらが changeit であるかに関係なく、Javaキーストアのパスワード。authcキーストアは、NetWorkerインストール ウィザード(Windows)または/opt/nsr/authc-server/scripts/authc_configure.sh スクリプト(Linux)の使用中に設定されたユーザー定義のキーストア パスワードです。

Example:

[root@networker-mc bin]# ./keytool -delete -alias emcauthctomcat -keystore /opt/nre/java/latest/lib/security/cacerts -storepass changeit  

[root@networker-mc bin]# ./keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore
Enter keystore password:  
[root@networker-mc bin]#

 

  1. デフォルトの emcauthctomcat 証明書は、次の場所に存在する必要があります。
    Linuxの場合/nsr/authc/conf/emcauthctomcat.cer
    Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\emcauthctomcat.cer

  2. デフォルトの emcauthctomcat 証明書をキーストアの場所にインポートします。
    Linuxの場合
    ./keytool -import -alias emcauthctomcat -keystore /path/to/keystore -storepass password -file /nsr/authc/conf/emcauthctomcat.cer

    Windowsの場合:
    keytool -import -alias emcauthctomcat -keystore "C:\path\to\keystore" -storepass password -file "C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\emcauthctomcat.cer"

Example:

[root@networker-mc bin]# ./keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore  -file /nsr/authc/conf/emcauthctomcat.cer
Enter keystore password:  
Owner: CN=networker-mc.emclab.local, OU=NetWorker, O=DELL, L=Round Rock, ST=TX, C=US
Issuer: CN=networker-mc.emclab.local, OU=NetWorker, O=DELL, L=Round Rock, ST=TX, C=US
Serial number: bd1993a1
Valid from: Wed Jun 29 12:16:53 EDT 2022 until: Sun Jun 23 12:16:53 EDT 2047
Certificate fingerprints:
         SHA1: E8:7B:C8:DF:4D:24:57:C4:63:34:1F:E8:6D:AA:1F:84:79:61:92:26
         SHA256: 93:97:0D:ED:DF:B1:73:62:D0:E1:95:C9:EB:67:3E:EE:4D:2E:55:9F:D7:9D:5E:FD:CE:81:E3:88:23:8E:0C:C9
Signature algorithm name: SHA512withRSA
Subject Public Key Algorithm: 3072-bit RSA key
Version: 3

Extensions: 

#1: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
  DNSName: localhost
  IPAddress: 127.0.0.1
  DNSName: networker-mc.emclab.local
]

Trust this certificate? [no]:  y
Certificate was added to keystore
[root@networker-mc bin]# ./keytool -import -alias emcauthctomcat -keystore /opt/nre/java/latest/lib/security/cacerts -file /nsr/authc/conf/emcauthctomcat.cer   
Enter keystore password:  
Certificate already exists in keystore under alias <emcnwuiserv>
Do you still want to add it? [no]:  y
Certificate was added to keystore

 

  1. コマンド keytool -list コマンドを実行して、各キーストアでemcauthctomcat署名が一致する証明書を確認します。
    Linuxの場合 ./keytool -list -keystore /path/to/keystore -storepass password | grep -A1 emcauth
    Windowsの場合: keytool -list -keystore "C:\path\to\keystore" -storepass password

  2. NetWorkerサービスを開始します。
    Linuxの場合 systemctl start networker
    Windowsの場合: net start nsrd

  3. を使用して、 authc_config または authc_mgmt コマンド:
    authc_config -u Administrator -e find-all-users

Example:

[root@networker-mc bin]# authc_mgmt -u administrator -e find-all-users
Enter password: 
The query returns 2 records.
User Id User Name           
1000    administrator       
1001    svc_nmc_networker-mc

 

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Series
Article Properties
Article Number: 000204050
Article Type: Solution
Last Modified: 30 Apr 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.