NetWorker : Importation ou remplacement de certificats signés par une autorité de certification pour NMC

Summary: Ces instructions expliquent comment remplacer le certificat auto-signé NetWorker par défaut par un certificat signé par une autorité de certification sur un serveur NetWorker Management Console (NMC). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Ces instructions décrivent comment remplacer le certificat auto-signé NetWorker par défaut par un certificat signé par une autorité de certification pour NetWorker Management Console (NMC). Cet article de la base de connaissances fournit des instructions pour les serveurs NMC Windows et Linux.

Le processus de remplacement des certificats auto-signés du NetWorker Server Authentication Service (authc) et de l’interface utilisateur Web NetWorker (NWUI) par des certificats signés par une autorité de certification est décrit dans les articles suivants spécifiques au système d’exploitation :

Certificats concernés :

  • <server>.csr : Requête de signature de certificat NetWorker Management Console Server

  • <server>.key : Clé privée du serveur NetWorker Management Console

  • <server>.crt : Certificat signé par l’autorité de certification du serveur NetWorker Management Console

  • <CA>.crt : certificat racine de l’autorité de certification

  • <ICA.crt> : certificat intermédiaire de l’autorité de certification (facultatif, si disponible)

Remarque : Où <server> est le nom abrégé du serveur NMC.

Avant de commencer :

Ce processus utilise l’utilitaire OpenSSL. Cet utilitaire est fourni par défaut sur les systèmes d’exploitation Linux ; Toutefois, elle n’est pas incluse sur les systèmes Windows. Consultez l’administrateur système concernant l’installation d’OpenSSL. La version requise d’OpenSSL varie en fonction de la version de NetWorker installée.

  • NetWorker 19.8 et les versions antérieures nécessitent openssl version 1.0.2
  • NetWorker 19.9 à 19.11 nécessite openssl version 1.1.1n 
Remarque : Les hôtes Linux utilisant NetWorker 19.12.0.0 prennent en charge OpenSSL 3.0.14. Windows nécessite toujours la version 1.1.1n.
AVERTISSEMENT : Si une version incorrecte d’OpenSSL est utilisée, le processus GSTD de NMC ne parvient pas à démarrer NetWorker : Le service GST NMC démarre, puis s’arrête immédiatement après le remplacement de cakey.pem.


La version d’OpenSSL peut être identifiée comme suit :

Linux : 
# openssl version
Windows. :
  1. Dans l’Explorateur de fichiers Windows, accédez à l’emplacement openssl.exe. Ce chemin peut varier en fonction de la façon dont OpenSSL a été installé.
  2. Ouvrez le fichier openssl.exe et accédez à l’ongletDétails . Le champ Product Version détaille la version d’OpenSSL :
Informations détaillées sur la version d’OpenSSL

Sinon, si le chemin d’accès au fichier openssl.exe fait partie de la variable PATH du système, vous pouvez exécuter la commande « openssl version » à partir de l’invite de commande d’administration ; Sinon, vous pouvez changer de répertoire (CD) vers le répertoire openssl.exe.

 

Générez un fichier de clé privée et de demande de signature de certificat (CSR) à fournir à votre autorité de certification.

  1. Sur le serveur NMC, utilisez l’utilitaire de ligne de commande OpenSSL pour créer le fichier de clé privée du NetWorker Server (<server>.key) et fichier CSR (<server>.csr).
    Linux :
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows. :

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Les fichiers csr et de clé peuvent être placés à l’emplacement de votre choix si C :\tmp n’existe pas.
 
  1. Envoyez le fichier CSR (<server>.csr) à l’autorité de certification pour générer le fichier de certificat signé par une autorité de certification (<server>.crt). L’autorité de certification doit fournir le fichier de certificat signé par l’autorité de certification (<server>.crt), le certificat racine (<CA>.crt) et tous les certificats d’autorité de certification intermédiaires (<ICA>.crt).

Serveurs NetWorker Management Console (NMC) Linux :

  1. Obtenez les certificats signés par l’autorité de certification dans des fichiers de clés individuels ou dans un fichier unique au format PFX.
  2. Si les certificats signés par l’autorité de certification se trouvent dans un seul fichier PFX, la clé privée et le certificat signé par l’autorité de certification peuvent être extraits comme avec l’outil OpenSSL (OpenSSL peut ne pas être installé sur Windows, il peut être installé séparément).
Remarque : Lorsque vous suivez ce processus, veillez à remplacer les fichiers .crt et .key par le chemin d’accès complet, y compris le nom de fichier de votre certificat et les fichiers de clés correspondants.
A. Extrayez la clé privée et le certificat signé par une autorité de certification à partir du fichier PFX.
Clé privée : 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certification CA : 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Vérifiez l’intégrité du server.key et de server.crt.

Remarque : Assurez-vous que la sortie affiche le même hachage de somme de contrôle à partir de ces deux sorties. S’ils sont différents, il y a un problème. S’ils sont identiques, passez à l’étape suivante.
Clé privée : 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Certification CA : 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Convertissez la clé privée, le certificat de serveur signé par une autorité de certification, l’autorité de certification racine (et tous les certificats intermédiaires) au format PEM.

Clé privée : 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Certificat de serveur signé par une autorité de certification : 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Certificat d’autorité de certification racine : 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Certificat CA intermédiaire (si disponible) : 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Combinez le server.key.pem, le CA.crt racine, le certificat intermédiaire (si disponible) et le certificat de serveur signé dans le fichier cakey.pem pour NMC : 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Arrêtez le service gst du serveur NMC :
# systemctl stop gst
  1. Faites une copie du fichier cakey.pem existant, puis remplacez le fichier par défaut par celui créé à l’étape 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Effectuez une copie des fichiers server.crt et server.key du serveur NMC, puis remplacez les fichiers d’origine par les fichiers server.crt signés et server.key :
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
Remarque : Vous pouvez revenir aux copies de sauvegarde de tous les problèmes observés. L’utilisation de la commande copy pour écraser les originaux garantit que les fichiers conservent la propriété et les autorisations appropriées. Ces fichiers doivent être détenus par le compte de service NMC par défaut (nsrnmc) avec 600 autorisations.
  1. Démarrez le service gst du serveur NMC :
# systemctl start gst
  1. Surveillez / opt/lgtonmc/logs/gstd.raw du serveur NMC pour détecter d’éventuelles erreurs.

NetWorker : Utiliser nsr_render_log pour afficher .raw fichier journal

Vérification :

Lorsque le service gst du serveur NMC est en cours d’exécution, comparez l’empreinte digitale du certificat signé par l’autorité de certification avec l’empreinte digitale du certificat du port de service gst de NMC (9000) :

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

L’empreinte SHA256 de ces deux commandes doit correspondre.

Exemple :

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Serveurs NetWorker Management Console (NMC) Windows :

  1. Obtenez les certificats signés par l’autorité de certification dans des fichiers de clés individuels ou dans un fichier unique au format PFX.
  2. Si les certificats signés par l’autorité de certification se trouvent dans un seul fichier PFX, la clé privée et le certificat signé par l’autorité de certification peuvent être extraits comme avec l’outil OpenSSL (OpenSSL peut ne pas être installé sur Windows, il peut être installé séparément).
Remarque : Lorsque vous suivez ce processus, veillez à remplacer les fichiers .crt et .key par le chemin d’accès complet, y compris le nom de fichier de votre certificat et les fichiers de clés correspondants.
A. Extrayez la clé privée et le certificat signé par une autorité de certification à partir du fichier PFX.
Clé privée : 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certification CA : 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Vérifiez l’intégrité du server.key et de server.crt.

Remarque : Assurez-vous que la sortie affiche le même hachage de somme de contrôle à partir de ces deux sorties. S’ils sont différents, il y a un problème. S’ils sont identiques, passez à l’étape suivante.
Clé privée : 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Certification CA : 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Convertissez la clé privée, le certificat de serveur signé par une autorité de certification, l’autorité de certification racine (et tous les certificats intermédiaires) au format PEM.

Clé privée : 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Certificat de serveur signé par une autorité de certification : 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Combinez les fichiers server.key.pem et sever.crt.pem dans le fichier cakey.pem pour NMC. Il est recommandé d’utiliser la commande PowerShell suivante pour cela : 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Arrêtez le service gst du serveur NMC :
net stop gstd
  1. Faites une copie du fichier cakey.pem d’origine, puis placez le fichier cakey.pem signé par l’autorité de certification combinée à sa place :
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
Remarque : Vous êtes invité à écraser l’original. Écrasez le certificat, car il existe une copie de l’original. L’écrasement de l’original garantit que la propriété et les autorisations du fichier sont conservées.
  1. Effectuez une copie des fichiers server.crt et server.key du serveur NMC, puis remplacez les fichiers d’origine par les fichiers server.crt signés et server.key :
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Démarrez le service gst du serveur NMC :
net start gstd
  1. Surveillez C  :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw du serveur NMC pour détecter d’éventuelles erreurs.

NetWorker : Utiliser nsr_render_log pour afficher .raw fichier journal

Vérification :

Lorsque le service gst du serveur NMC est en cours d’exécution, comparez l’empreinte digitale du certificat signé par l’autorité de certification avec l’empreinte digitale du certificat du port de service gst de NMC (9000) :

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

L’empreinte SHA256 de ces deux commandes doit correspondre.

Exemple :

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Même après le remplacement du certificat auto-signé de NMC par un certificat signé par une autorité de certification, l’avertissement suivant peut s’afficher lors de la connexion à un serveur NMC à partir du lanceur NMC :

L’autorité de certification qui a émis le certificat n’est pas approuvée

Cliquez sur « View Certificate Details ». Les détails du certificat confirment que le certificat signé par une autorité de certification est utilisé. 

L’avertissement s’affiche, car le certificat signé est absent des certificats racines de confiance du client NMC.
 

Remarque : Un client NMC est n’importe quel hôte utilisé pour accéder à NMC.

Cet avertissement peut être ignoré ; Si vous le souhaitez, le certificat signé par l’autorité de certification du serveur NMC peut également être importé dans les certificats racines de confiance du client NMC :

  1. Placez le certificat signé par l’autorité de certification du serveur NMC (<server.crt>) sur l’hôte client NMC dans un dossier de votre choix.
  2. Ouvrez les propriétés du certificat signé par une autorité de certification.
  3. Cliquez sur Install Certificate.
  4. Sélectionnez Local Machine.
  5. Sélectionnez Placer tous les certificats dans le magasin suivant.
  6. Cliquez sur Parcourir.
  7. Sélectionnez Autorités de certification racines de confiance, puis cliquez sur OK.
  8. Cliquez sur Next (Suivant).
  9. Cliquez sur Finish (Terminer).
  10. Un message s’affiche indiquant si l’importation a échoué ou réussi, cliquez sur OK.
  11. Dans les propriétés du certificat signé par une autorité de certification, cliquez sur OK.

Lors du lancement suivant de NMC, l’avertissement de sécurité ne s’affiche pas.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.