NetWorker: NMC için Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme

Summary: Bu talimatlarda, varsayılan NetWorker kendinden imzalı sertifikasının, NetWorker Management Console (NMC) sunucusunda CA tarafından imzalanmış bir sertifikayla nasıl değiştirileceği açıklanmaktadır. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Bu talimatlarda, NetWorker Management Console (NMC) için varsayılan NetWorker kendinden imzalı sertifikasının CA tarafından imzalanmış bir sertifikayla nasıl değiştirileceği açıklanmaktadır. Bu KB, hem Windows hem de Linux NMC sunucuları için talimatlar sağlar.

NetWorker sunucu kimlik doğrulama hizmeti (authc) ve NetWorker Web Kullanıcı Arayüzü (NWUI) kendinden imzalı sertifikalarını CA imzalı sertifikalarla değiştirme işlemi, aşağıdaki işletim sistemine özel KB'lerde ayrıntılı olarak açıklanmıştır:

İlgili Sertifikalar:

  • <server>.csr: NetWorker Management Console Sunucusu sertifika imzalama isteği

  • <server>.key: NetWorker Management Console Sunucusu özel anahtarı

  • <server>.crt: NetWorker Management Console Sunucusu CA imzalı sertifika

  • <CA>.crt: CA kök sertifikası

  • <ICA>.crt: CA ara sertifikası (varsa isteğe bağlı)

NOT: Burada <server> , NMC sunucusunun kısa adıdır.

Başlamadan önce:

Bu işlem OpenSSL yardımcı programını kullanır. Bu yardımcı program, Linux işletim sistemlerinde varsayılan olarak sağlanır; ancak, Windows sistemlerinde bulunmaz. OpenSSL'yi yüklemek için sistem yöneticisine danışın. Gerekli OpenSSL sürümü, yüklü NetWorker sürümüne bağlı olarak farklılık gösterir.

  • NetWorker 19.8 ve öncesi openssl sürüm 1.0.2 gerektirir
  • NetWorker 19.9 ila 19.11 sürümleri, openssl sürüm 1.1.1n gerektirir 
NOT: NetWorker 19.12.0.0 kullanan Linux ana bilgisayarları OpenSSL 3.0.14 ü destekler. Windows hala 1.1.1n gerektirir.
UYARI: OpenSSL'nin yanlış sürümü kullanılırsa NMC'nin GSTD işlemi NetWorker'ı başlatamaz: NMC GST hizmeti, cakey.pem değiştirildikten sonra başlar ve hemen kapanır.


OpenSSL sürümü aşağıda tanımlanabilir:

Linux: 
# openssl version
Windows:
  1. Windows Dosya Gezgini'nden openssl.exe konuma gidin. Bu yol, OpenSSL'nin nasıl kurulduğuna bağlı olarak farklılık gösterebilir.
  2. openssl.exe dosyasını açın ve Details sekmesine gidin. Product Version alanı OpenSSL sürümünü ayrıntılı olarak açıklar:
OpenSSL sürüm ayrıntıları

Alternatif olarak, openssl.exe dosya yolu sistem PATH değişkeninin bir parçasıysa, 'openssl version' komutunu ve Yönetici komut isteminden çalıştırabilirsiniz; Yoksa dizini (cd) openssl.exe diziniyle değiştirebilirsiniz.

 

Sertifika Yetkilinize sağlamak için bir özel anahtar ve sertifika imzalama isteği (CSR) dosyası oluşturun.

  1. NMC sunucusunda, NetWorker sunucusu özel anahtar dosyasını oluşturmak için OpenSSL komut satırı yardımcı programını kullanın (<server>.key) ve CSR dosyası (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
C:\tmp mevcut değilse csr ve anahtar dosyaları seçtiğiniz bir konuma yerleştirilebilir.
 
  1. CSR dosyasını (<server>.csr) CA imzalı sertifika dosyasını oluşturmak için CA'ya (<server>.crt). CA, CA tarafından imzalanmış sertifika dosyasını (<server>.crt), kök sertifika (<CA>.crt) ve ara CA sertifikaları (<ICA>.crt).

Linux NetWorker Yönetim Konsolu (NMC) Sunucuları:

  1. CA imzalı sertifikaları tek tek anahtar dosyalarında veya PFX biçiminde tek bir dosyada alın.
  2. CA imzalı sertifikalar tek bir PFX dosyasındaysa, özel anahtar ve CA imzalı sertifika, OpenSSL aracında olduğu gibi ayıklanabilir (Windows'ta OpenSSL yüklü olmayabilir, ayrı olarak kurulabilir).
NOT: Bu işlemi takip ederken .crt ve .key dosyalarını, sertifikanızın dosya adı ve anahtar dosyaları da dahil olmak üzere tam dosya yolu ile değiştirdiğinizden emin olun.
A. Özel anahtarı ve CA tarafından imzalanmış sertifikayı PFX dosyasından ayıklayın.
Özel anahtar: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA cert: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. server.key ve server.crt dosyasının bütünlüğünü doğrulayın.

NOT: Çıktının bu iki çıktıdan aynı sağlama toplamı karmasını gösterdiğinden emin olun. Farklılarsa bir sorun var demektir. Bağlantı noktası aynıysa sonraki adıma geçin.
Özel Anahtar: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA cert: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Özel Anahtarı, CA imzalı sunucu sertifikasını, kök CA'yı (ve tüm ara sertifikaları) PEM biçimine dönüştürün.

Özel Anahtar: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA signed server cert: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Kök CA sertifikası: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Ara CA sertifikası (varsa): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. server.key.pem, kök CA.crt, Ara sertifika (varsa) ve imzalı sunucu sertifikasını NMC için cakey.pem dosyasında birleştirin: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. NMC Server's gst service kapatın:
# systemctl stop gst
  1. Mevcut cakey.pem dosyasının bir kopyasını alın, ardından varsayılan dosyayı 2. adım olan D'de oluşturulan dosyayla değiştirin.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. NMC sunucusunun server.crt dosyasının ve server.key dosyalarının bir kopyasını oluşturun, ardından orijinal dosyaları imzalı server.crt ile değiştirin ve server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
NOT: Herhangi bir sorun gözlemlenirse yedek kopyalara geri dönebilirsiniz. Orijinallerin üzerine yazmak için kopyala komutunun kullanılması, dosyaların doğru sahiplik ve izinlere sahip olmasını sağlar. Bu dosyalar, 600 izne sahip varsayılan NMC hizmet hesabına (nsrnmc) ait olmalıdır.
  1. NMC sunucusunun gst hizmetini başlatın:
# systemctl start gst
  1. NMC sunucusunun /opt/lgtonmc/logs/gstd.raw dosyasını izleyerek hata olup olmadığını kontrol edin.

NetWorker: Günlük dosyasını işlemek için nsr_render_log .raw kullanma

Doğrulama:

NMC sunucusunun gst hizmeti çalışırken, CA tarafından imzalanmış sertifikanın parmak izini NMC'nin gst hizmeti bağlantı noktasının (9000) sertifika parmak iziyle karşılaştırın:

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

Bu iki komutun SHA256 parmak izi eşleşmelidir.

Example:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Windows NetWorker Yönetim Konsolu (NMC) Sunucuları:

  1. CA imzalı sertifikaları tek tek anahtar dosyalarında veya PFX biçiminde tek bir dosyada alın.
  2. CA imzalı sertifikalar tek bir PFX dosyasındaysa, özel anahtar ve CA imzalı sertifika, OpenSSL aracında olduğu gibi ayıklanabilir (Windows'ta OpenSSL yüklü olmayabilir, ayrı olarak kurulabilir).
NOT: Bu işlemi takip ederken .crt ve .key dosyalarını, sertifikanızın dosya adı ve anahtar dosyaları da dahil olmak üzere tam dosya yolu ile değiştirdiğinizden emin olun.
A. Özel anahtarı ve CA tarafından imzalanmış sertifikayı PFX dosyasından ayıklayın.
Özel anahtar: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA cert: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. server.key ve server.crt dosyasının bütünlüğünü doğrulayın.

NOT: Çıktının bu iki çıktıdan aynı sağlama toplamı karmasını gösterdiğinden emin olun. Farklılarsa bir sorun var demektir. Bağlantı noktası aynıysa sonraki adıma geçin.
Özel Anahtar: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA cert: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Özel Anahtarı, CA imzalı sunucu sertifikasını, kök CA'yı (ve tüm ara sertifikaları) PEM biçimine dönüştürün.

Özel Anahtar: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA signed server cert: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. server.key.pem ve sever.crt.pem değerlerini NMC için cakey.pem dosyasında birleştirin. Bunun için aşağıdaki PowerShell komutunu kullanmanız önerilir: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. NMC Server's gst service kapatın:
net stop gstd
  1. Orijinal cakey.pem dosyasının bir kopyasını alın, ardından birleşik CA imzalı cakey.pem dosyasını yerine yerleştirin:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
NOT: Orijinalin üzerine yazmanız istenir. Orijinalin bir kopyası olduğu için sertifikanın üzerine yazın. Orijinalin üzerine yazılması, dosya sahipliğinin ve izinlerinin korunmasını sağlar.
  1. NMC sunucusunun server.crt dosyasının ve server.key dosyalarının bir kopyasını oluşturun, ardından orijinal dosyaları imzalı server.crt ile değiştirin ve server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. NMC sunucusunun gst hizmetini başlatın:
net start gstd
  1. NMC sunucusunun C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw bölümünde hata olup olmadığını izleyin.

NetWorker: Günlük dosyasını işlemek için nsr_render_log .raw kullanma

Doğrulama:

NMC sunucusunun gst hizmeti çalışırken, CA tarafından imzalanmış sertifikanın parmak izini NMC'nin gst hizmeti bağlantı noktasının (9000) sertifika parmak iziyle karşılaştırın:

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

Bu iki komutun SHA256 parmak izi eşleşmelidir.

Example:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

NMC'nin kendinden imzalı sertifikası, CA tarafından imzalanmış bir sertifikayla değiştirildikten sonra bile, NMC başlatıcısından bir NMC sunucusuna bağlanırken aşağıdaki uyarıyı görebilirsiniz:

Sertifikayı veren sertifika yetkilisine güvenilmiyor

View Certificate Details öğesine tıklayın. Sertifika ayrıntıları, CA imzalı sertifikanın kullanıldığını doğrular. 

NMC istemcisinin Güvenilir Kök Sertifikalarında imzalı sertifika eksik olduğu için uyarı görüntülenir.
 

NOT: NMC istemcisi, NMC'ye erişmek için kullanılan herhangi bir ana bilgisayardır.

Bu uyarı göz ardı edilebilir; isteğe bağlı olarak, NMC sunucusunun CA imzalı sertifikası, NMC istemcisinin Güvenilir Kök Sertifikalarına da içe aktarılabilir:

  1. NMC sunucusunun CA imzalı sertifikasını (<server.crt>), NMC istemci ana bilgisayarındaki seçtiğiniz bir klasöre koyun.
  2. CA imzalı sertifika özelliklerini açın.
  3. Install Certificate ögesine tıklayın.
  4. Local Machine öğesini seçin.
  5. Tüm sertifikaları aşağıdaki depolama alanına yerleştir'i seçin.
  6. Browse öğesine tıklayın.
  7. Trusted Root Certification Authorities öğesini seçin, ardından OK öğesine tıklayın.
  8. Next (İleri) öğesine tıklayın.
  9. Son öğesine tıklayın.
  10. İçe aktarmanın başarısız veya başarılı olduğunu belirten bir mesaj görüntülenir. OK öğesine tıklayın.
  11. CA imzalı sertifika özelliklerinde OK öğesine tıklayın.

Bir sonraki NMC lansmanı sırasında Güvenlik Uyarısı gösterilmez.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.