NetWorker: come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Linux)

Summary: Questi sono i passaggi generali per sostituire il certificato autofirmato NetWorker predefinito con un certificato firmato dall'autorità di certificazione (CA) per i servizi "authc" e "nwui". ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Queste istruzioni descrivono come sostituire il certificato autofirmato NetWorker predefinito con un certificato firmato dalla CA per authc e nwui sul server NetWorker.

I nomi dei file non hanno un requisito di denominazione, ma è necessario fare riferimento alle estensioni per il tipo di file. Gli esempi di comandi mostrati si riferiscono a Linux. Per istruzioni su Windows, vedere:.
NetWorker: come importare o sostituire i certificati firmati dall'autorità di certificazione per "Authc" e "NWUI" (Windows)
 

NOTA: se l'ambiente è in esecuzione su un server NVE (NetWorker Virtual Edition), utilizzare il percorso completo dell'utilità keytool Java di NetWorker Runtime Environment (/opt/nre/java/latest/bin/keytool) anziché l'utilità keytool Java predefinita (/usr/bin/keytool).


File di certificato interessati:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Archivi chiavi interessati:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Generare una chiave privata e un file CSR (richiesta di firma del certificato) da fornire alla CA.

  • Utilizzare l'utilità della riga di comando OpenSSL per creare il file della chiave privata del server NetWorker (<server>.key) e il file CSR (<server>.csr).

    # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

  • Inviare il file CSR (<server>.csr) alla CA per generare il file di certificato firmato dalla CA (<server>.crt). La CA deve fornire il file di certificato firmato dalla CA (<server>.crt), il certificato radice (<CA>.crt) ed eventuali certificati CA intermedi (<ICA>.crt).

Procedura di verifica preliminare:

Accertarsi di disporre di quanto segue:

  • server.crt, che contiene un certificato PEM la cui prima riga è -----BEGIN CERTIFICATE----- e l'ultima riga è -----END CERTIFICATE-----
  • Il file della chiave inizia con -----BEGIN RSA PRIVATE KEY----- e termina con -----END RSA PRIVATE KEY-----
  • Confermare che tutti i certificati siano file validi in formato PEM eseguendo openssl x509 -in <cert> -text -noout.
  • Verificare l'output precedente per assicurarsi che si tratti del certificato corretto.
  • Controllare l'output dei due comandi seguenti: 
    openssl rsa -pubout -in server.key
    openssl x509 -pubkey -noout -in server.crt
    L'output di questi due comandi deve corrispondere.

Per facilitare i passaggi e i comandi descritti di seguito, creiamo le seguenti variabili:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Se sono presenti più certificati intermedi, creare variabili per ogni certificato: ICA1, ICA2 e così via

È necessario conoscere le password corrette per l'archivio chiavi di NetWorker. Queste password vengono impostate durante la configurazione di AUTHC e NWUI. In caso di dubbi, consultare:

È inoltre possibile utilizzare le variabili di passaggio dell'archivio chiavi (opzione 1) o memorizzarle in un file per mantenere nascosta la password (opzione 2):
Esempio per l'opzione 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Esempio per l'opzione 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Operazioni preliminari:

Creare una copia di backup del keystore e dei file di configurazione aggiornati.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

 

Passaggi per la sostituzione del certificato di servizio di autenticazione:

La colonna authc Il servizio non deve essere interrotto affinché la procedura riportata di seguito funzioni. Tuttavia, per caricare i nuovi certificati è necessario riavviarlo.

  1. Importazione dei certificati

    • Importare il certificato radice (<CA>.crt) ed eventuali certificati intermedi di certificazione (<ICA>.crt) nella authc.keystore.

      $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
$java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
$java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

    • Utilizzare il file della chiave privata del server NetWorker (<server>.key) e il nuovo file di certificato firmato dalla CA (<server>.crt) per creare un file di archivio PKCS12 per emcauthctomcat e emcauthcsaml alias.

      openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass
      NOTA: la password del file pkcs12 deve corrispondere alla password dell'archivio chiavi. Ecco perché, in questo caso, lo creiamo con il authc STOREPASS.

    • Importare i file dell'archivio PKCS12 in authc.keystore.

      $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Importare i file dell'archivio PKCS12 in authc.truststore.

      $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Eliminare il certificato autofirmato NetWorker predefinito e importare il nuovo file di certificato firmato dalla CA (<server>.crt) nella authc.truststore.

      $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
$java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

    • Infine, importare questo certificato nel file dell'archivio chiavi cacerts Java in emcauthctomcat alias:

      $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  2. Modificare la proprietà admin_service_default_url=localhost valore nel authc-cli-app.properties per riflettere il nome del server NetWorker usato nel file di certificato firmato dalla CA:

    cat /opt/nsr/authc-server/conf/authc-cli-app.properties
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  3. È necessario riavviare i servizi NetWorker per authc per utilizzare il nuovo certificato importato.
nsr_shutdown 
systemctl start networker

  1. Restaurare authc Attendibilità sul server NetWorker:

    nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Verifiche successive all'autenticazione

L'output di ciascun alias "Certificate fingerprint" coincide con quelli degli altri keystore:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

L'output deve essere simile al seguente:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

L'impronta digitale proviene dal certificato installato. Indica che l'introduzione del nuovo certificato nei diversi archivi chiavi è stata eseguita correttamente.

openssl x509 -in $cert -fingerprint -sha256 -noout

quando la proprietà del authc se il servizio è attivo e in esecuzione, è possibile verificare che il certificato fornito a una connessione in entrata sia uguale al precedente:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Il comando riportato sopra è stato eseguito dal server NetWorker stesso, quindi si connette a localhost. Connessioni da uso esterno <nw server name>:9090
 

Interfaccia utente di NetWorker (nwui) Procedura di sostituzione del certificato di servizio:

Partiamo dal presupposto che il nwui i servizi sono in esecuzione sul server NetWorker.

  • Arrestare il nwui servizio

    systemctl stop nwui

  • Eliminare i certificati autofirmati NetWorker predefiniti e importare il nuovo file di certificato firmato dalla CA (<server>.crt) nell'archivio chiavi cacerts. Per coerenza, sostituiamo tutte le nwui-certificati correlati con il certificato firmato dalla CA.

    • Prima di eseguire la seguente procedura, è necessario determinare se viene utilizzato NetWorker Runtime Environment (NRE) o Java Runtime Environment (JRE).
    • Se si utilizza JRE, il percorso di /cacerts si trova in $java_bin/../lib/security/cacerts.
    • Se si utilizza NRE, il percorso di /cacerts è in corrispondenza di /opt/nre/java/latest/lib/security/cacerts. 
      $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  • Utilizzare il file della chiave privata del server NetWorker (<server>.key) e il nuovo file di certificato firmato dalla CA (<server>.crt) per creare un file di archivio PKCS12 per emcauthctomcat e emcauthcsaml alias per l'attributo nwui dell'ambiente di runtime dei servizi di autenticazione.

    openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass
    NOTA: la password del file pkcs12 deve corrispondere alla password dell'archivio chiavi. Ecco perché, in questo caso, lo creiamo con il nwui STOREPASS.

  • Importare i file .p12, il certificato CA radice e i certificati CA intermedi in nwui dell'ambiente di runtime dei servizi di autenticazione.

    $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

  • Rinominare il file binario emcnwuimonitoring, emcnwuiauthce emcnwuiserv certificati e inserire il certificato del server in questo percorso con lo stesso nome.

    mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer

mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
cp $cert /opt/nwui/conf/emcnwuiauthc.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer

mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
cp $cert /opt/nwui/conf/emcnwuiserv.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

  • Avviare il nwui servizi

    systemctl start nwui

nwui Post-verifiche:

L'output di ciascun alias "Certificate fingerprint" coincide con quelli degli altri keystore:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

L'impronta digitale proviene dal certificato installato. Indica che l'introduzione del nuovo certificato nei diversi archivi chiavi è stata eseguita correttamente.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Procedura di sostituzione del certificato PostgreSQL

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key
NOTA: Il proprietario del <server>.crt <server>.key devono essere l'utente in cui è in esecuzione il database PostgreSQL.
  • Linux: nsrnwui

Additional Information

Per ulteriori informazioni sull'importazione di un certificato firmato dalla CA, consultare la Dell NetWorker Security Configuration Guide.

Il processo di sostituzione del certificato autofirmato di NetWorker Management Console (NMC) con un certificato firmato dalla CA è descritto in dettaglio nel seguente articolo della KB:

NetWorker: come importare o sostituire i certificati firmati dall'autorità di certificazione per NMC

Affected Products

NetWorker Family, NetWorker
Article Properties
Article Number: 000194900
Article Type: How To
Last Modified: 14 Nov 2025
Version:  24
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.