NetWorker: Come importare o sostituire i certificati firmati dall'autorità di certificazione per "AUTHC" e "NWUI" (Windows)

Summary: Questa è la procedura generale per sostituire il certificato autofirmato NetWorker predefinito con un certificato firmato dall'autorità di certificazione (CA) per i servizi "AUTHC" e "NWUI". Questo articolo della KB si applica quando il server NetWorker e il server NetWorker Web User Interface (NWUI) sono installati sui sistemi operativi Windows. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Queste istruzioni descrivono come sostituire il certificato autofirmato NetWorker predefinito con un certificato firmato dalla CA per i servizi AUTHC e NWUI sul server NetWorker.

I nomi dei file non hanno un requisito di denominazione, ma è necessario fare riferimento alle estensioni per il tipo di file. Gli esempi di comando mostrati sono per Windows. Per istruzioni su Linux, vedere:
NetWorker: come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Linux)
 

NOTA: Il processo descritto richiede l'utilità della riga di comando OpenSSL. OpenSSL non è incluso nei sistemi operativi Windows per impostazione predefinita. Se l'utilità OpenSSL non è installata, consultare l'amministratore di sistema per installare OpenSSL prima di procedere con questo articolo della KB.

File di certificato coinvolti:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Archivi chiavi coinvolti:

Nome store Percorso predefinito
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Programmi\NRE\java\jre#.#.#_####\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
NOTA: I percorsi mostrati sono percorsi di installazione predefiniti; Tuttavia, il percorso di installazione è definito dall'utente e può essere installato in un'altra posizione. Utilizzare i percorsi di installazione dal server se sono stati utilizzati percorsi non predefiniti. Il percorso Java di NetWorker Runtime Environment (NRE) varia a seconda della versione di NRE installata, in quanto altera anche la versione di Java installata.

Prima di iniziare:

Creare una copia dei seguenti file e cartelle in un'altra posizione:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Generare una chiave privata e un file CSR (richiesta di firma del certificato) da fornire alla CA.

  1. Aprire un prompt dei comandi di amministrazione ed eseguire i seguenti comandi:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Inviare il file CSR (<server>.csr) alla CA per generare il file di certificato firmato dalla CA (<server.crt>). La CA deve fornire il file di certificato firmato dalla CA (<server.crt>), il certificato radice (<CA.crt>) ed eventuali certificati CA intermedi (<ICA.crt>).

Procedura di verifica preliminare:

È necessario conoscere le password corrette per l'archivio chiavi di NetWorker. Queste password vengono impostate durante la configurazione di AUTHC e NWUI. In caso di dubbi, consultare:

Per facilitare i passaggi e i comandi descritti di seguito, creiamo le seguenti variabili da un prompt dei comandi dell'amministratore:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
NOTA: I valori di queste variabili sono specifici dell'ambiente. È necessario impostare i valori in base ai percorsi di sistema e alle credenziali utilizzate nel sistema. Queste variabili sono limitate alla sessione del prompt dei comandi. Una volta chiusa la finestra del prompt dei comandi, le variabili vengono annullate. Se sono presenti più certificati intermedi, creare variabili per ogni certificato: ICA1, ICA2 e così via

Accertarsi di disporre di quanto segue:

  • server.crt, che contiene un certificato PEM la cui prima riga è -----BEGIN CERTIFICATE----- e l'ultima riga è -----END CERTIFICATE-----
  • Il file della chiave inizia con -----BEGIN RSA PRIVATE KEY----- e termina con -----END RSA PRIVATE KEY-----
  • Confermare che tutti i certificati siano file validi in formato PEM eseguendo openssl x509 -in <cert> -text -noout
  • Verificare l'output precedente per assicurarsi che sia il certificato corretto.
  • Controllare l'output dei due comandi seguenti: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    L'output di questi due comandi deve corrispondere.

Passaggi per la sostituzione del certificato di servizio di autenticazione:

La colonna authc Il servizio non deve essere interrotto affinché la procedura riportata di seguito funzioni. Tuttavia, per caricare i nuovi certificati è necessario riavviarlo.

  1. Importazione dei certificati:
  • Importare il certificato radice (<CA.crt>) ed eventuali certificati CA intermedi (<ICA.crt>) nel file authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Utilizzare il file della chiave privata del server NetWorker (<server>.key) e il nuovo file di certificato firmato dalla CA (<server.crt>) per creare un file di archivio PKCS12 per emcauthctomcat e emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importare i file dell'archivio PKCS12 in authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importare i file dell'archivio PKCS12 in authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Eliminare il certificato autofirmato NetWorker predefinito e importare il nuovo certificato autofirmato dalla CA 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Infine, importare questo certificato nel file dell'archivio chiavi cacerts Java in emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Modificare il valore admin_service_default_url=localhost nel file C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties in modo che rifletta il nome del server NetWorker utilizzato nel file di certificato firmato dalla CA:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Per consentire ad AUTHC di utilizzare il nuovo certificato importato, è necessario riavviare i servizi NetWorker.
net stop nsrd
net start nsrd
  1. Ristabilire l'attendibilità AUTHC sul server NetWorker:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Verifiche successive di AUTHC:

  1. Confermare l'impronta digitale del certificato importato:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Esempio: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Creare i file di output per i cacert
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Esaminare il file di output e verificare che venga visualizzato il messaggio emcauthctomcat e che l'impronta digitale del certificato corrisponda all'impronta digitale del passaggio 1:
L'impronta digitale del certificato corrisponde all'impronta digitale del certificato importato
  1. Controllare authc.truststore e authc.keystore e verificare che il emcauthctomcat emcauthcsaml Le impronte digitali del certificato corrispondono all'impronta digitale del passaggio 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Quando il servizio AUTHC è attivo e in esecuzione, è possibile verificare che il certificato fornito a una connessione in entrata sia uguale al precedente:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Esempio: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Interfaccia utente di NetWorker (nwui) Procedura di sostituzione del certificato di servizio:

Partiamo dal presupposto che il nwui i servizi sono in esecuzione sul server NetWorker.
  1. Arrestare il servizio NWUI:
net stop nwui
  1. Eliminare i certificati autofirmati NetWorker predefiniti e importare il nuovo file di certificato firmato dalla CA (<server>.crt) nell'archivio chiavi cacerts. Per coerenza, sostituiamo tutti i certificati correlati a nwui con il certificato firmato dalla CA.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Utilizzare il file della chiave privata del server NetWorker (<server>.key) e il nuovo file di certificato firmato dalla CA (<server.crt>) per creare un file di archivio PKCS12 per emcauthctomcat e emcauthcsaml Alias per l'archivio chiavi NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
NOTA: la password del file pkcs12 deve corrispondere alla password dell'archivio chiavi. Questo è il motivo per cui, in questo caso, creiamo il file con nwui storepass.
  1. Importare i file .p12, il certificato CA radice e i certificati CA intermedi nell'archivio chiavi nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Rinominare il file binario emcnwuimonitoring e inserire il certificato del server in questo percorso con lo stesso nome.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Avviare il servizio NWUI:
net start nwui

nwui Post-verifiche:

  1. Confermare l'impronta digitale del certificato importato:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Esempio: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Creare i file di output per i cacert
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Esaminare il file di output e verificare che venga visualizzato il messaggio emcauthctomcat e che l'impronta digitale del certificato corrisponda all'impronta digitale del passaggio 1:
L'impronta digitale del certificato corrisponde all'impronta digitale del certificato importato
  1. Controllare il file nwui.keystore e verificare che il emcauthctomcat Le impronte digitali del certificato corrispondono all'impronta digitale del passaggio 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Quando il servizio NWUI è attivo e in esecuzione, è possibile verificare che il certificato fornito a una connessione in ingresso sia uguale a quello sopra riportato:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Esempio: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Procedura di sostituzione del certificato PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Verificare la proprietà di questi file e assicurarsi che siano di proprietà del servizio locale dell'account di sistema.

server.crt è di proprietà di LOCAL SERVICE 

server.key è di proprietà di LOCAL SERVICE 
 Se la proprietà del file è impostata su un altro account utente o gruppo, aggiornare ogni file in modo che sia di proprietà di "LOCAL SERVICE"

Additional Information

Per ulteriori informazioni sull'importazione di un certificato firmato dalla CA, consultare la Dell NetWorker Security Configuration Guide.

Il processo di sostituzione del certificato autofirmato di NetWorker Management Console (NMC) con un certificato firmato dalla CA è descritto in dettaglio nel seguente articolo della KB:

NetWorker: come importare o sostituire i certificati firmati dall'autorità di certificazione per NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.