NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen authc- ja NWUI-varmenteilla (Linux)

Summary: Näillä yleisillä toimilla NetWorkerin itse allekirjoitettu oletusvarmenne korvataan varmenteen myöntäjän (CA) allekirjoittamalla varmenteella authc- ja nwui-palveluissa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Näissä ohjeissa kuvataan, miten NetWorkerin itse allekirjoittama oletusvarmenne korvataan päämyöntäjän allekirjoittamalla varmenteella authc ja nwui NetWorker-palvelimen palvelut.

Tiedostonimillä ei ole nimeämisvaatimusta, mutta tiedostotyyppiin on viitattava tiedostotyypin mukaan. Esitetyt komentoesimerkit koskevat Linuxia. Katso Windows-ohjeet kohdasta:.
Verkkotyöntekijä: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen Authc- ja NWUI-varmenteilla (Windows)
 

HUOMAUTUS: Jos ympäristö toimii NetWorker Virtual Edition (NVE) -palvelimessa, käytä NetWorker Runtime Environment Java keytool -apuohjelman koko polkua (/opt/nre/java/latest/bin/keytool) oletusarvoisen Java keytool -apuohjelman (/usr/bin/keytool) sijasta.


Mukana olevat varmennetiedostot:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Mukana olevat avainsäilöt:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Luo yksityisen avaimen ja varmenteen allekirjoituspyyntötiedosto (CSR), jonka toimitat varmenteiden myöntäjälle.

  • Luo NetWorker-palvelimen yksityisen avaimen tiedosto OpenSSL-komentoriviapuohjelmalla (<server>.key) ja CSR-tiedosto (<server>.csr).

    # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

  • Lähetä CSR-tiedosto (<server>.csr) varmentajalle myöntäjän allekirjoittaman varmennetiedoston luomiseksi (<server>.crt). Varmenteiden myöntäjän on toimitettava varmenteiden myöntäjän allekirjoittama varmennetiedosto (<server>.crt), juurivarmenne (<CA>.crt) ja mahdolliset välivaiheen CA-todistukset (<ICA>.crt).

Vahvistusta edeltävät vaiheet:

Varmista, että sinulla on seuraavat ominaisuudet:

  • server.crt-tiedosto, joka sisältää PEM-varmenteen, jonka ensimmäinen rivi on -----BEGIN CERTIFICATE----- ja viimeinen rivi on -----END CERTIFICATE-----
  • Avaintiedoston alussa on -----BEGIN RSA PRIVATE KEY----- ja se päättyy -----END RSA PRIVATE KEY-----
  • Varmista, että kaikki varmenteet ovat kelvollisia PEM-muotoisia tiedostoja suorittamalla openssl x509 -in <cert> -text -noout.
  • Tarkista yllä oleva tulos ja varmista, että se on oikea varmenne.
  • Tarkista seuraavien kahden komennon tulos: 
    openssl rsa -pubout -in server.key
    openssl x509 -pubkey -noout -in server.crt
    Näiden kahden komennon tuloksen on vastattava toisiaan.

Alla kuvattujen vaiheiden ja komentojen helpottamiseksi luomme seuraavat muuttujat:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Jos välivarmenteita on enemmän kuin yksi, luo kullekin varmenteelle muuttujat: ICA1, ICA2 ja niin edelleen

Sinun on tiedettävä oikeat NetWorker-avainsäilön salasanat. Nämä salasanat asetetaan AUTHC- ja NWUI-määritysten yhteydessä. Jos et ole varma, katso:

Voit myös käyttää avainsäilön passimuuttujia (vaihtoehto 1) tai tallentaa ne tiedostoon salasanan piilottamiseksi (vaihtoehto 2):
Esimerkki vaihtoehdosta 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Esimerkki vaihtoehdosta 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Ennen kuin aloitat:

Tee varmuuskopio päivitetyistä avainsäilö- ja määritystiedostoista.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

 

Valtuutuspalveluvarmenteen vaihtovaiheet:

pikanäppäimellä authc Palvelua ei tarvitse pysäyttää, jotta alla olevat toimenpiteet toimivat. Se on kuitenkin käynnistettävä uudelleen, jotta uudet varmenteet ladataan.

  1. Varmenteiden tuominen

    • Tuo juurivarmenne (<CA>.crt) ja mahdolliset CA-välitodistukset (<ICA>.crt) authc.keystore.

      $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
$java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
$java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

    • Käytä NetWorker Serverin yksityisen avaimen tiedostoa (<server>.key) ja uuden myöntäjän allekirjoittaman varmennetiedoston (<server>.crt) luodaksesi PKCS12-säilötiedoston emcauthctomcat ja emcauthcsaml alias.

      openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass
      HUOMAUTUS: PKCS12-tiedoston salasanan on vastattava avainsäilön salasanaa. Siksi tässä tapauksessa luomme sen authc StorePass.

    • Tuo PKCS12-säilön tiedostot authc.keystore.

      $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Tuo PKCS12-säilön tiedostot authc.truststore.

      $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Poista oletusarvoinen NetWorkerin itse allekirjoitettu varmenne ja tuo uusi päämyöntäjän allekirjoittama varmennetiedosto (<server>.crt) authc.truststore.

      $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
$java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

    • Tuo lopuksi tämä varmenne Java cacerts keystore -tiedostoon kohdassa emcauthctomcat alias:

      $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  2. Muokkaa admin_service_default_url=localhost Arvo kohdassa authc-cli-app.properties CA-allekirjoitetussa varmennetiedostossa käytetty NetWorker Server -nimi vastaa seuraavaa tiedostoa:

    cat /opt/nsr/authc-server/conf/authc-cli-app.properties
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  3. NetWorker-palvelut on käynnistettävä uudelleen seuraavia varten: authc käyttääksesi uutta tuotua varmennetta.
nsr_shutdown 
systemctl start networker

  1. Muodosta uudelleen authc Luottamus NetWorker-palvelimeen:

    nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc-varmennuksen jälkeiset toimenpiteet:

Kunkin "Certificate fingerprint" -aliaksen tuloste on sama kuin muiden avainsäilöjen:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Lähdön tulisi olla samanlainen kuin tämä:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Tämä sormenjälki on peräisin asennetusta varmenteesta. Tämä osoittaa, että uuden varmenteen käyttöönotto eri avainsäilöissä tapahtui oikein.

openssl x509 -in $cert -fingerprint -sha256 -noout

Kun authc Palvelu on käynnissä. Voit tarkistaa, että sen saapuvalle yhteydelle antama varmenne on sama kuin yllä:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Edellä oleva komento suoritettiin NetWorker-palvelimesta, joten se muodostaa yhteyden localhost-palvelimeen. Yhteydet ulkopuolisesta käytöstä <nw server name>:9090
 

NetWorker-käyttöliittymä (nwui) Palveluvarmenteen vaihtovaiheet:

Oletamme, että nwui Palvelut ovat käynnissä NetWorker-palvelimessa.

  • Pysäytä nwui palvelu

    systemctl stop nwui

  • Poista oletusarvoiset NetWorkerin itse allekirjoitetut varmenteet ja tuo uusi päämyöntäjän allekirjoittama varmennetiedosto (<server>.crt) Cacerts-avainsäilöön. Johdonmukaisuuden vuoksi korvaamme kaikki nwui-liittyvät varmenteet CA-allekirjoitetulla varmenteella.

    • Ennen seuraavien vaiheiden suorittamista on selvitettävä, käytetäänkö NetWorker Runtime Environmentia (NRE) vai Java Runtime Environment (JRE).
    • Jos käytetään JRE:tä, /cacerts-tiedoston polku on $java_bin/../lib/security/cacerts.
    • Jos käytetään NRE:tä, polun /cacerts polku on /opt/nre/java/latest/lib/security/cacerts. 
      $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  • Käytä NetWorker Serverin yksityisen avaimen tiedostoa (<server>.key) ja uuden myöntäjän allekirjoittaman varmennetiedoston (<server>.crt) luodaksesi PKCS12-säilötiedoston emcauthctomcat ja emcauthcsaml Alias nwui avainsäilytys.

    openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass
    HUOMAUTUS: PKCS12-tiedoston salasanan on vastattava avainsäilön salasanaa. Siksi tässä tapauksessa luomme sen nwui StorePass.

  • Tuo .p12-tiedostot, CA-päävarmenne ja CA-välivarmenteet nwui avainsäilytys.

    $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

  • Nimeä uudelleen emcnwuimonitoring, emcnwuiauthcja emcnwuiserv varmenteet, ja laita palvelinvarmenne tähän polkuun samalla nimellä.

    mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer

mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
cp $cert /opt/nwui/conf/emcnwuiauthc.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer

mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
cp $cert /opt/nwui/conf/emcnwuiserv.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

  • Käynnistä nwui palvelut

    systemctl start nwui

nwui Varmennuksen jälkeiset toimet:

Kunkin "Certificate fingerprint" -aliaksen tuloste on sama kuin muiden avainsäilöjen:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Tämä sormenjälki on peräisin asennetusta varmenteesta. Tämä osoittaa, että uuden varmenteen käyttöönotto eri avainsäilöissä tapahtui oikein.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui PostgreSQL-varmenteen vaihtovaiheet

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key
HUOMAUTUS: Omistaja <server>.crt ja <server>.key tiedostojen on oltava käyttäjä, jolla PostgreSQL-tietokanta on käynnissä.
  • Linux: nsrnwui

Additional Information

Lisätietoja päämyöntäjän allekirjoittaman varmenteen tuomisesta on Dell NetWorker Security Configuration Guide -oppaassa.

NetWorker Management Consolen (NMC) itse allekirjoitetun varmenteen korvaaminen varmenteiden myöntäjän allekirjoittamalla varmenteella on seuraavassa tietämyskannan tietokannassa:

NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen NMC:lle

Affected Products

NetWorker Family, NetWorker
Article Properties
Article Number: 000194900
Article Type: How To
Last Modified: 14 Nov 2025
Version:  24
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.