NetWorker: Så här importerar eller ersätter du signerade certifikat från certifikatutfärdare för NMC

Summary: I de här anvisningarna beskrivs hur du ersätter det självsignerade standardcertifikatet för NetWorker med ett CA-signerat certifikat på en NetWorker Management Console-server (NMC).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

De här anvisningarna beskriver hur du ersätter det självsignerade standardcertifikatet för NetWorker med ett CA-signerat certifikat för NetWorker Management Console (NMC). Den här kunskapsbasartikeln innehåller instruktioner för både Windows- och Linux NMC-servrar.

Processen för att ersätta de självsignerade certifikaten NetWorker Server Authentication Service (Authc) och NetWorker Web User Interface (NWUI) med CA-signerade certifikat beskrivs i följande operativsystemsspecifika KB:er:

Berörda intyg:

  • <server>.csr: NetWorker Management Console Begäran om signering av servercertifikat

  • <server>.key: NetWorker Management Console Privat nyckel för server

  • <server.crt>: NetWorker Management Console-server CA-signerat certifikat

  • <CA.crt>: CA-rotcertifikat

  • <ICA.crt>: CA mellanliggande certifikat (valfritt om det är tillgängligt)

Obs! Där <server> är kortnamnet för NMC-servern.

Innan du börjar:

I den här processen används OpenSSL-verktyget. Det här verktyget tillhandahålls som standard på Linux-operativsystem. ingår dock inte i Windows-system. Rådgör med systemadministratören angående installation av OpenSSL. Vilken version av OpenSSL som krävs varierar beroende på vilken NetWorker-version som är installerad.

  • NetWorker 19.8 och tidigare kräver openssl version 1.0.2
  • NetWorker 19.9 till 19.11 kräver openssl version 1.1.1n 
Obs! Linux-värdar som använder NetWorker 19.12.0.0 stöder OpenSSL 3.0.14. Windows kräver fortfarande 1.1.1n.
VARNING! Om fel version av OpenSSL används kan NMC:s GSTD-process inte starta NetWorker: NMC GST-tjänsten startar och stängs sedan omedelbart av efter att ha ersatt cakey.pem.


OpenSSL-versionen kan identifieras på följande sätt:

Linux: 
# openssl version
Windows:
  1. Från Utforskaren i Windows går du till openssl.exe platsen. Sökvägen kan variera beroende på hur OpenSSL installerades.
  2. Öppna openssl.exe-filen och gå till flikenD-etails . I fältet Produktversion anges OpenSSL-versionen:
Versionsinformation för OpenSSL

Alternativt, om den openssl.exe filsökvägen är en del av systemets PATH-variabel, kan du köra kommandot 'openssl version' från en administrativ kommandotolk. Annars kan du ändra katalog (CD) till katalogen openssl.exe.

 

Generera en CSR-fil (Private Key and Certificate Signing Request) som du ska tillhandahålla till certifikatutfärdaren.

  1. På NMC-servern använder du kommandoradsverktyget OpenSSL för att skapa NetWorker-serverns privata nyckelfil (<server>.key) och CSR-fil (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
CSR- och nyckelfilerna kan placeras på valfri plats om C:\tmp inte finns.
 
  1. Skicka CSR-filen (<server>.csr) till certifikatutfärdaren för att generera den CA-signerade certifikatfilen (<server>.crt). Certifikatutfärdaren ska tillhandahålla den CA-signerade certifikatfilen (<server>.crt), rotcertifikatet (<CA>.crt) och eventuella mellanliggande CA-certifikat (<ICA>.crt).

Linux NetWorker Management Console-servrar (NMC):

  1. Hämta de CA-signerade certifikaten i antingen enskilda nyckelfiler eller en enda fil i PFX-format.
  2. Om de signerade certifikatutfärdarcertifikaten finns i en enda PFX-fil kan den privata nyckeln och det signerade certifikatutfärdarcertifikatet extraheras på samma sätt som med OpenSSL-verktyget (Windows kanske inte har OpenSSL installerat, det kan installeras separat).
Obs! När du följer den här processen ska du se till att du ersätter .crt- och .key-filerna med den fullständiga filsökvägen, inklusive filnamnet på certifikatet och nyckelfilerna i enlighet med detta.
A. Extrahera den privata nyckeln och det CA-signerade certifikatet från PFX-filen.
Privat nyckel: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-certifikat: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Kontrollera integriteten för server.key och server.crt.

Obs! Se till att utdata visar samma kontrollsummahash från dessa två utdata. Om de är olika finns det ett problem. Om de är desamma går du till nästa steg.
Privat nyckel: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA-certifikat: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Konvertera privat nyckel, CA-signerat servercertifikat, rotcertifikatutfärdare (och eventuella mellanliggande certifikat) till PEM-format.

Privat nyckel: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA-signerat servercertifikat: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Rotcertifikatutfärdarens certifikat: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Mellanliggande CA-certifikat (om tillgängligt): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Kombinera server.key.pem, rot-CA.crt, mellanliggande certifikat (om tillgängligt) och signerat servercertifikat i filen cakey.pem för NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Stäng av NMC-serverns GST-tjänst:
# systemctl stop gst
  1. Gör en kopia av den befintliga cakey.pem-filen och ersätt sedan standardfilen med den som skapades i steg 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Gör en kopia av NMC-serverns server.crt- och server.key-filer och ersätt sedan originalfilerna med den signerade server.crt och server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
Obs! Du kan återgå till säkerhetskopiorna om problem observeras. Om du använder kopieringskommandot för att skriva över originalen ser du till att filerna behåller rätt ägare och behörigheter. Dessa filer måste ägas av NMC-standardtjänstkontot (nsrnmc) med 600 behörigheter.
  1. Starta NMC-serverns GST-tjänst:
# systemctl start gst
  1. Övervaka NMC-serverns /opt/lgtonmc/logs/gstd.raw för eventuella fel.

NetWorker: Så här använder du nsr_render_log för att återge .raw loggfil

Verifiering:

När NMC-serverns gst-tjänst körs jämför du fingeravtrycket på det CA-signerade certifikatet med certifikatets fingeravtrycksläsare på NMC:s gst-tjänstport (9000):

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

SHA256-fingeravtrycket för dessa två kommandon bör matcha.

Exempel:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

NMC-servrar (Windows NetWorker Management Console):

  1. Hämta de CA-signerade certifikaten i antingen enskilda nyckelfiler eller en enda fil i PFX-format.
  2. Om de signerade certifikatutfärdarcertifikaten finns i en enda PFX-fil kan den privata nyckeln och det signerade certifikatutfärdarcertifikatet extraheras på samma sätt som med OpenSSL-verktyget (Windows kanske inte har OpenSSL installerat, det kan installeras separat).
Obs! När du följer den här processen ska du se till att du ersätter .crt- och .key-filerna med den fullständiga filsökvägen, inklusive filnamnet på certifikatet och nyckelfilerna i enlighet med detta.
A. Extrahera den privata nyckeln och det CA-signerade certifikatet från PFX-filen.
Privat nyckel: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-certifikat: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Kontrollera integriteten för server.key och server.crt.

Obs! Se till att utdata visar samma kontrollsummahash från dessa två utdata. Om de är olika finns det ett problem. Om de är desamma går du till nästa steg.
Privat nyckel: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA-certifikat: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Konvertera privat nyckel, CA-signerat servercertifikat, rotcertifikatutfärdare (och eventuella mellanliggande certifikat) till PEM-format.

Privat nyckel: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA-signerat servercertifikat: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Kombinera server.key.pem och sever.crt.pem i filen cakey.pem för NMC. Vi rekommenderar att du använder följande PowerShell-kommando för detta: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Stäng av NMC-serverns GST-tjänst:
net stop gstd
  1. Gör en kopia av den ursprungliga cakey.pem och placera sedan den kombinerade certifikatutfärdaren signerad cakey.pem i dess ställe:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
Obs! Du uppmanas att skriva över originalet. Skriv över certifikatet eftersom det finns en kopia av originalet. Om du skriver över originalet ser du till att filägarskap och behörigheter behålls.
  1. Gör en kopia av NMC-serverns server.crt- och server.key-filer och ersätt sedan originalfilerna med den signerade server.crt och server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Starta NMC-serverns GST-tjänst:
net start gstd
  1. Övervaka eventuella fel i NMC-serverns C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw .

NetWorker: Så här använder du nsr_render_log för att återge .raw loggfil

Verifiering:

När NMC-serverns gst-tjänst körs jämför du fingeravtrycket på det CA-signerade certifikatet med certifikatets fingeravtrycksläsare på NMC:s gst-tjänstport (9000):

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

SHA256-fingeravtrycket för dessa två kommandon bör matcha.

Exempel:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Även efter att NMC:s självsignerade certifikat har ersatts med ett CA-signerat certifikat kan följande varning visas vid anslutning till en NMC-server från NMC-startprogrammet:

Certifikatutfärdaren som utfärdade certifikatet är inte betrodd

Klicka på "View Certificate Details". Certifikatinformationen verifierar att det certifikatutfärdarsignerade certifikatet används. 

Varningen visas eftersom det signerade certifikatet saknas i NMC-klientens betrodda rotcertifikat.
 

Obs! En NMC-klient är en värd som används för åtkomst till NMC.

Den här varningen kan ignoreras. Du kan också importera NMC-serverns CA-signerade certifikat till NMC-klientens betrodda rotcertifikat:

  1. Placera NMC-serverns CA-signerade certifikat (<server.crt>) på NMC-klientvärden i en mapp som du väljer.
  2. Öppna egenskaperna för det signerade certifikatet för certifikatutfärdaren.
  3. Klicka på Installera certifikat.
  4. Välj Lokal dator.
  5. Välj Placera alla certifikat i följande arkiv.
  6. Klicka på Browse.
  7. Välj Betrodda rotcertifikatutfärdare och klicka sedan på OK.
  8. Klicka på Nästa.
  9. Klicka på Slutför.
  10. Ett meddelande visas som anger om importen misslyckades eller lyckades, klicka på OK.
  11. I egenskaperna för det signerade certifikatet för certifikatutfärdaren klickar du på OK.

Under nästa NMC-start visas inte säkerhetsvarningen.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.