NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater til NMC

Summary: Denne vejledning beskriver, hvordan du erstatter det selvsignerede NetWorker-standardcertifikat med et CA-signeret certifikat på en NetWorker Management Console-server (NMC).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Denne vejledning beskriver, hvordan du erstatter det selvsignerede NetWorker-standardcertifikat med et CA-signeret certifikat til NetWorker Management Console (NMC). Denne KB indeholder instruktioner til både Windows- og Linux NMC-servere.

Processen til udskiftning af selvsignerede NetWorker-servergodkendelsestjenester (authc) og NetWorker Web User Interface (NWUI) certifikater med CA-signerede certifikater er beskrevet i følgende operativsystemspecifikke KB'er:

Involverede certifikater:

  • <Server>.csr: Anmodning om signering af NetWorker Management Console-servercertifikat

  • <Server>.key: NetWorker Management Console Server privat nøgle

  • <server.crt>: NetWorker Management Console Server CA-signeret certifikat

  • <CA.crt>: CA-rodcertifikat

  • <ICA.crt>: CA mellemcertifikat (valgfrit, hvis det er tilgængeligt)

BEMÆRK: Hvor <server> er det korte navn på NMC-serveren.

Før du starter:

Denne proces bruger OpenSSL-værktøjet. Dette værktøj leveres som standard på Linux-operativsystemer; er dog ikke inkluderet på Windows-systemer. Kontakt systemadministratoren vedrørende installation af OpenSSL. Den påkrævede version af OpenSSL varierer afhængigt af den installerede NetWorker-version.

  • NetWorker 19.8 og tidligere kræver OpenSSL version 1.0.2
  • NetWorker 19.9 til 19.11 kræver OpenSSL-version 1.1.1n 
BEMÆRK: Linux-værter, der bruger NetWorker 19.12.0.0, understøtter OpenSSL 3.0.14. Windows kræver stadig 1.1.1n.
ADVARSEL: Hvis den forkerte version af OpenSSL bruges, kan NMC's GSTD-proces ikke starte NetWorker: NMC GST-tjenesten starter og lukker straks ned efter udskiftning af cakey.pem.


OpenSSL-versionen kan identificeres på følgende måde:

Linux: 
# openssl version
Windows:
  1. Fra Windows Stifinder skal du gå til den openssl.exe placering. Denne sti kan variere, afhængigt af hvordan OpenSSL blev installeret.
  2. Åbn filen openssl.exe , og gå til fanen Details . Feltet Produktversion angiver OpenSSL-versionen:
Oplysninger om OpenSSL-version

Alternativt, hvis den openssl.exe filsti er en del af systemets PATH-variabel, kan du køre kommandoen 'openssl version' fra og administrativ kommandoprompt; Ellers kan du ændre mappe (cd) til openssl.exe-mappen.

 

Generer en privat nøgle og CSR-fil (anmodning om certifikatsignering), som skal leveres til dit nøglecenter.

  1. Brug OpenSSL-kommandolinjeværktøjet på NMC-serveren til at oprette NetWorker-serverens private nøglefil (<server>.key) og CSR-fil (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
CSR- og nøglefilerne kan placeres et sted efter eget valg, hvis C: \ tmp ikke findes.
 
  1. Send CSR-filen (<server>.csr) til nøglecenteret for at generere den CA-signerede certifikatfil (<server>.crt). Det nøglecenter skal levere den CA-signerede certifikatfil (<server>.crt), rodcertifikatet (<CA>.crt) og eventuelle mellemliggende CA-certifikater (<ICA>.crt).

Linux NetWorker Management Console-servere (NMC):

  1. Få CA-signerede certifikater i enten individuelle nøglefiler eller en enkelt fil i PFX-format.
  2. Hvis de CA-signerede certifikater er i en enkelt PFX-fil, kan den private nøgle og det CA-signerede certifikat udpakkes som med OpenSSL-værktøjet (Windows har muligvis ikke OpenSSL installeret, det kan installeres separat).
BEMÆRK: Når du følger denne proces, skal du sørge for at erstatte .crt- og .key-filerne med den fulde filsti, herunder filnavnet på certifikatet og nøglefilerne i overensstemmelse hermed.
A. Udpak den private nøgle og CA-signerede certifikat fra PFX-filen.
Privat nøgle: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-certifikat: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Kontroller integriteten af server.key og server.crt.

BEMÆRK: Sørg for, at outputtet viser den samme kontrolsumshash fra disse to output. Hvis de er forskellige, er der et problem. Hvis de er ens, skal du gå til næste trin.
Privat nøgle: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA-certifikat: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Konverter privat nøgle, CA-signeret servercertifikat, rod-CA (og eventuelle mellemliggende certifikater) til PEM-format.

Privat nøgle: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA-signeret servercertifikat: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Root CA-certifikat: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Mellemliggende CA-certifikat (hvis tilgængeligt): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Kombiner server.key.pem-, CA.crt-rod-, mellemcertifikat (hvis tilgængeligt) og signeret servercertifikat i cakey.pem-filen til NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Luk NMC-serverens gst-tjeneste:
# systemctl stop gst
  1. Lav en kopi af den eksisterende cakey.pem-fil, og erstat derefter standardfilen med den, der blev oprettet i trin 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Opret en kopi af NMC-serverens server.crt og server.key filer, erstat derefter de originale filer med den signerede server.crt og server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
BEMÆRK: Du kan vende tilbage til sikkerhedskopierne, hvis eventuelle problemer er observeret. Brug af kommandoen Kopier til at overskrive originalerne sikrer, at filerne bevarer det korrekte ejerskab og de korrekte tilladelser. Disse filer skal ejes af standard NMC Service Account (nsrnmc) med 600 tilladelser.
  1. Start NMC-serverens gst-tjeneste:
# systemctl start gst
  1. Overvåg NMC-serverens /opt/lgtonmc/logs/gstd.raw for eventuelle fejl.

NetWorker: Sådan bruges nsr_render_log til at gengive .raw logfil

Verifikation:

Når NMC-serverens gst-tjeneste kører, skal du sammenligne fingeraftrykket fra det CA-signerede certifikat med certifikatfingeraftrykket fra NMC's gst-serviceport (9000):

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

SHA256-fingeraftrykket for disse to kommandoer skal matche.

Eksempel:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

NMC-servere (Windows NetWorker Management Console):

  1. Få CA-signerede certifikater i enten individuelle nøglefiler eller en enkelt fil i PFX-format.
  2. Hvis de CA-signerede certifikater er i en enkelt PFX-fil, kan den private nøgle og det CA-signerede certifikat udpakkes som med OpenSSL-værktøjet (Windows har muligvis ikke OpenSSL installeret, det kan installeres separat).
BEMÆRK: Når du følger denne proces, skal du sørge for at erstatte .crt- og .key-filerne med den fulde filsti, herunder filnavnet på certifikatet og nøglefilerne i overensstemmelse hermed.
A. Udpak den private nøgle og CA-signerede certifikat fra PFX-filen.
Privat nøgle: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-certifikat: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Kontroller integriteten af server.key og server.crt.

BEMÆRK: Sørg for, at outputtet viser den samme kontrolsumshash fra disse to output. Hvis de er forskellige, er der et problem. Hvis de er ens, skal du gå til næste trin.
Privat nøgle: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA-certifikat: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Konverter privat nøgle, CA-signeret servercertifikat, rod-CA (og eventuelle mellemliggende certifikater) til PEM-format.

Privat nøgle: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA-signeret servercertifikat: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Kombiner server.key.pem og sever.crt.pem i cakey.pem-filen til NMC. Det anbefales at bruge følgende PowerShell-kommando til dette: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Luk NMC-serverens gst-tjeneste:
net stop gstd
  1. Lav en kopi af den originale cakey.pem, og placer derefter den kombinerede CA-signerede cakey.pem på sin plads:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
BEMÆRK: Du bliver bedt om at overskrive originalen. Overskriv certifikatet, da der er en kopi af originalen. Overskrivning af originalen sikrer, at filejerskab og tilladelser bevares.
  1. Opret en kopi af NMC-serverens server.crt og server.key filer, erstat derefter de originale filer med den signerede server.crt og server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Start NMC-serverens gst-tjeneste:
net start gstd
  1. Overvåg NMC-serverens C:\Programmer\EMC NetWorker\Management\GST\logs\gstd.raw for eventuelle fejl.

NetWorker: Sådan bruges nsr_render_log til at gengive .raw logfil

Verifikation:

Når NMC-serverens gst-tjeneste kører, skal du sammenligne fingeraftrykket fra det CA-signerede certifikat med certifikatfingeraftrykket fra NMC's gst-serviceport (9000):

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

SHA256-fingeraftrykket for disse to kommandoer skal matche.

Eksempel:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Selv efter NMC'ens selvsignerede certifikat er blevet erstattet med et CA-signeret certifikat, kan du få vist følgende advarsel under forbindelse til en NMC-server fra NMC-starteren:

Der er ikke tillid til det nøglecenter, der har udstedt certifikatet

Klik på "Vis certifikatoplysninger". Certifikatoplysningerne bekræfter, at det CA-signerede certifikat bruges. 

Advarslen vises, fordi det signerede certifikat mangler i NMC-klientens rodcertifikater, der er tillid til.
 

BEMÆRK: En NMC-klient er enhver vært, der bruges til at få adgang til NMC.

Denne advarsel kan ignoreres; NMC-serverens CA-signerede certifikat kan også importeres til NMC-klientens rodcertifikater, der er tillid til:

  1. Anbring NMC-serverens CA-signerede certifikat (<server.crt>) på NMC-klientværten i en mappe efter eget valg.
  2. Åbn egenskaberne for det CA-signerede certifikat.
  3. Klik på Installer certifikat.
  4. Vælg Lokal maskine.
  5. Vælg Placer alle certifikater i følgende lager.
  6. Klik på Gennemse.
  7. Vælg Rodnøglecentre, der er tillid til, og klik derefter på OK.
  8. Klik på Næste.
  9. Klik på Udfør.
  10. Der vises en meddelelse om, at hvis importen mislykkedes eller lykkedes, skal du klikke på OK.
  11. Klik på OK i egenskaberne for CA-signerede certifikater.

Under den næste NMC-start vises sikkerhedsadvarslen ikke.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.