NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Linux)

Summary: Dette er de generelle trin til at erstatte det selvsignerede NetWorker-standardcertifikat med et CA-signeret certifikat (Certificate Authority) for tjenesterne "authc" og "nwui".

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Disse instruktioner beskriver, hvordan du erstatter det selvsignerede NetWorker-standardcertifikat med et CA-signeret certifikat for authc og nwui tjenester på NetWorker-serveren.

Filnavnene har ikke et navngivningskrav, men der skal refereres til filtypenavnene for filtypen. De viste kommandoeksempler er til Linux. Du kan finde Windows-instruktioner i:.
NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Windows)
 

BEMÆRK: Hvis miljøet kører på en NetWorker Virtual Edition-server (NVE), skal du bruge den fulde sti til NetWorker Runtime Environment Java keytool-hjælpeprogrammet (/opt/nre/java/latest/bin/keytool) i stedet for Java keytool-standardhjælpeprogrammet (/usr/bin/keytool).


Involverede certifikatfiler:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Involverede nøglebutikker:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Generer en privat nøgle og CSR-fil (anmodning om certifikatsignering), som skal leveres til dit nøglecenter.

  • Brug kommandolinjeværktøjet OpenSSL til at oprette den private NetWorker-servernøglefil (<server>.key) og CSR-fil (<server>.csr).

    # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

  • Send CSR-filen (<server>.csr) til nøglecenteret for at generere den CA-signerede certifikatfil (<server>.crt). Det nøglecenter skal levere den CA-signerede certifikatfil (<server>.crt), rodcertifikatet (<CA>.crt) og eventuelle mellemliggende CA-certifikater (<ICA>.crt).

Trin til forudgående bekræftelse:

Sørg for, at du har følgende:

  • server.crt-fil, som indeholder et PEM-certifikat, hvis første linje er -----BEGIN CERTIFICATE----- og den sidste linje er -----END CERTIFICATE-----
  • Nøglefilen starter med -----BEGIN RSA PRIVATE KEY----- og slutter med -----END RSA PRIVATE KEY-----
  • Bekræft, at alle certifikater er gyldige PEM-formatfiler ved at køre openssl x509 -in <cert> -text -noout.
  • Kontroller ovenstående output for at være sikker på, at det er det rigtige certifikat.
  • Kontroller outputtet af følgende to kommandoer: 
    openssl rsa -pubout -in server.key
    openssl x509 -pubkey -noout -in server.crt
    Outputtet af disse to kommandoer skal stemme overens.

For at lette de trin og kommandoer, der er beskrevet nedenfor, opretter vi følgende variabler:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Hvis der er mere end ét mellemliggende certifikat, skal du oprette variabler for hvert certifikat: ICA1, ICA2 osv

. Du skal kende de korrekte NetWorker-adgangskoder til nøglelageret. Disse adgangskoder indstilles under AUTHC- og NWUI-konfiguration. Hvis du ikke er sikker, kan du se:

Du kan også bruge dine keystore-adgangsvariabler (mulighed 1) eller gemme dem i en fil for at holde adgangskoden skjult (mulighed 2):
Eksempel på mulighed 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Eksempel på mulighed 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Før du starter:

Lav en sikkerhedskopi af nøglelageret og konfigurationsarkiverne, der opdateres.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

 

Trin til udskiftning af godkendelsesservicecertifikat:

Ikonet authc Servicen behøver ikke at blive stoppet, for at nedenstående procedure fungerer. Den skal dog genstartes, for at de nye certifikater kan indlæses.

  1. Import af certifikaterne

    • Importere rodcertifikatet (<CA>.crt) og eventuelle mellemliggende CA-certifikater (<ICA>.crt) i authc.keystore.

      $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
$java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
$java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

    • Brug den private NetWorker Server-nøglefil (<server>.key) og den nye CA-signerede certifikatfil (<server>.crt) for at oprette en PKCS12-lagerfil til emcauthctomcat og emcauthcsaml alias.

      openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass
      BEMÆRK: Adgangskoden til filen pkcs12 skal svare til adgangskoden til nøglelageret. Dette er grunden til, at vi i dette tilfælde opretter det med authc butikspas.

    • Importer PKCS12-lagerfilerne til authc.keystore.

      $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Importer PKCS12-lagerfilerne til authc.truststore.

      $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Slet det selvsignerede NetWorker-standardcertifikat, og importér den nye CA-signerede certifikatfil (<server>.crt) i authc.truststore.

      $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
$java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

    • Endelig importerer dette certifikat til Java cacerts keystore-filen under emcauthctomcat alias:

      $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  2. Rediger admin_service_default_url=localhost værdi i authc-cli-app.properties fil, der afspejler det NetWorker-servernavn, der bruges i den CA-signerede certifikatfil:

    cat /opt/nsr/authc-server/conf/authc-cli-app.properties
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  3. En genstart af NetWorker-tjenesterne er nødvendig for authc for at bruge det nye importerede certifikat.
nsr_shutdown 
systemctl start networker

  1. Genopret authc Tillid til NetWorker-serveren:

    nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc efterverificeringer:

Outputtet fra hvert alias "Certifikatfingeraftryk" falder sammen med outputtet fra de andre nøglelagre:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Udgangen skal svare til denne:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Dette fingeraftryk er fra det certifikat, der blev installeret. Dette indikerer, at indførelsen af det nye certifikat i de forskellige nøglelagre blev udført korrekt.

openssl x509 -in $cert -fingerprint -sha256 -noout

Når authc Tjenesten kører, kan du kontrollere, at det certifikat, den leverer til en indgående forbindelse, er det samme som ovenstående:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Ovenstående kommando blev kørt fra selve NetWorker-serveren, så den opretter forbindelse til localhost. Tilslutninger udefra <nw server name>:9090
 

NetWorker-brugergrænseflade (nwui) Trin til udskiftning af servicecertifikat:

Vi går ud fra, at nwui tjenester kører på NetWorker-serveren.

  • Stop nwui tjeneste

    systemctl stop nwui

  • Slet NetWorkers selvsignerede standardcertifikater, og importér den nye CA-signerede certifikatfil (<server>.crt) ind i Cacerts Keystore. For ensartethed erstatter vi alle nwui-relaterede certifikater med det CA-signerede certifikat.

    • Det er nødvendigt at afgøre, om NetWorker Runtime Environment (NRE) eller Java Runtime Environment (JRE) bruges, før følgende trin udføres.
    • Hvis JRE anvendes, er stien til /cacerts på $java_bin/../lib/security/cacerts.
    • Hvis NRE anvendes, er stien til /cacerts ved /opt/nre/java/latest/lib/security/cacerts. 
      $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  • Brug den private NetWorker Server-nøglefil (<server>.key) og den nye CA-signerede certifikatfil (<server>.crt) for at oprette en PKCS12-lagerfil til emcauthctomcat og emcauthcsaml Aliasset for nwui nøglebutik.

    openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass
    BEMÆRK: Adgangskoden til filen pkcs12 skal svare til adgangskoden til nøglelageret. Dette er grunden til, at vi i dette tilfælde opretter det med nwui butikspas.

  • Importer .p12-filerne, CA-rodcertifikatet og de mellemliggende CA-certifikater til nwui nøglebutik.

    $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

  • Omdøb emcnwuimonitoring, emcnwuiauthcog emcnwuiserv certifikater, og sæt vores servercertifikat her i denne sti med samme navn.

    mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer

mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
cp $cert /opt/nwui/conf/emcnwuiauthc.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer

mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
cp $cert /opt/nwui/conf/emcnwuiserv.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

  • Start nwui servicesektor

    systemctl start nwui

nwui Efterfølgende kontrolbesøg:

Outputtet fra hvert alias "Certifikatfingeraftryk" falder sammen med outputtet fra de andre nøglelagre:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Dette fingeraftryk er fra det certifikat, der blev installeret. Dette indikerer, at indførelsen af det nye certifikat i de forskellige nøglelagre blev udført korrekt.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Trin til udskiftning af PostgreSQL-certifikat

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key
BEMÆRK: Ejeren af <server>.crt og <server>.key filer skal være den bruger, som PostgreSQL-databasen kører under.
  • Linux: nsrnwui

Additional Information

Du kan finde flere oplysninger om import af et CA-signeret certifikat i sikkerhedskonfigurationsvejledningen til Dell NetWorker.

Processen for udskiftning af det selvsignerede NMC-certifikat (NetWorker Management Console) med et CA-signeret certifikat er beskrevet i følgende KB:

NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater til NMC

Affected Products

NetWorker Family, NetWorker
Article Properties
Article Number: 000194900
Article Type: How To
Last Modified: 14 Nov 2025
Version:  24
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.