NetWorker：「authc」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法

以下の手順では、デフォルトのNetWorker自己署名証明書をCA署名証明書に置き換える方法について説明します。 authc と nwui サービス。

ファイル名に名前付けの要件はありませんが、拡張子はファイルの種類で参照する必要があります。ここに示すコマンド例はLinux用です。Windowsでの手順については、.
を参照してください。NetWorker: 「Authc」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法(Windows)
 

関連する証明書ファイル：

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

関連するキーストア：

authc.keystore

authc.truststore

cacerts

nwui.keystore

CAに提供するプライベート キーと証明書署名要求(CSR)ファイルを生成します。

• OpenSSLコマンドライン ユーティリティーを使用して、NetWorkerサーバーのプライベート キー ファイル(<server>.key)とCSRファイル(<server>.csr)を使用するシステムで一般的に行われる、繰り返しのプログラムおよび消去サイクルによって劣化しやすい傾向があります。

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• CSRファイル(<server>.csr)をCAに送信して、CA署名付き証明書ファイル(<server>.crt)を使用するシステムで一般的に行われる、繰り返しのプログラムおよび消去サイクルによって劣化しやすい傾向があります。CA は、CA 署名付き証明書ファイル (<server>.crt)、ルート証明書 (<CA>.crt)、中間 CA 証明書 (<ICA>.crt)を使用するシステムで一般的に行われる、繰り返しのプログラムおよび消去サイクルによって劣化しやすい傾向があります。

事前検証の手順:

次のものがあることを確認します。

• server.crtファイルには、最初の行が-----BEGIN CERTIFICATE-----で、最後の行が-----END CERTIFICATEであるPEM証明書が含まれています-----
• キー ファイルは-----BEGIN RSA PRIVATE KEY-----で始まり、-----END RSA PRIVATE KEYで終わります-----
• 次のコマンドを実行して、すべての証明書が有効なPEM形式のファイルであることを確認します。 openssl x509 -in <cert> -text -nooutの詳細を確認してください。
• 前述の出力を確認して、正しい証明書であることを確認します。
• 次の2つのコマンドの出力を確認します。

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  これら2つのコマンドの出力は一致している必要があります。

以下で説明する手順とコマンドを容易にするために、次の変数を作成します。

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

中間証明書が複数ある場合は、証明書ごとに変数を作成します。ICA1、ICA2など

NetWorkerキーストアの正しいパスワードを知っている必要があります。これらのパスワードは、AUTHCおよびNWUIの構成中に設定されます。不明な場合は、次を参照してください。

• NetWorker認証とNWUIサービスのキーストア パスワードを取得する方法

また、キーストア パス変数を使用するか(オプション1)、それらをファイルに保存してパスワードを非表示にすることもできます(オプション2):
オプション1の例:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

オプション2の例：

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

作業を開始する前に：

アップデートされたキーストアと構成ファイルのバックアップ コピーを作成します。

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

認証サービス証明書の交換手順:

「 authc 次の手順を実行するためにサービスを停止する必要はありません。ただし、新しい証明書をロードするには、再起動する必要があります。

1. 証明書のインポート

   • ルート証明書 (<CA>.crt)および中間CA証明書(<ICA>.crt)を authc.keystoreの詳細を確認してください。

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • NetWorkerサーバーのプライベート キー ファイル(<server>.key)と新しいCA署名付き証明書ファイル(<server>.crt)を使用して、 emcauthctomcat と emcauthcsaml 別名。

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     メモ: pkcs12ファイルのパスワードは、キーストアのパスワードと一致している必要があります。そのため、このケースでは、 authc storepassです。

   • PKCS12ストア ファイルを authc.keystoreの詳細を確認してください。

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • PKCS12ストア ファイルを authc.truststoreの詳細を確認してください。

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • デフォルトのNetWorker自己署名証明書を削除し、新しいCA署名証明書ファイル(<server>.crt)を authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • 最後に、この証明書を次のJava cacertsキーストア ファイルにインポートします。 emcauthctomcat 別名：

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

2. 編集 admin_service_default_url=localhost 値を authc-cli-app.properties 次のように、CA署名済み証明書ファイルで使用されているNetWorkerサーバー名を反映します。

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. NetWorkerサービスの再起動は、次の場合に必要です。 authc をクリックして、新しくインポートされた証明書を使用します。

nsr_shutdown 
systemctl start networker

4. 再確立 authc NetWorkerサーバーでの信頼:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

認証後の検証:

各「証明書フィンガープリント」エイリアスの出力は、他のキーストアの出力と一致します。

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

出力は次のようになります。

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

このフィンガープリントは、インストールされた証明書のものです。これは、異なるキーストアへの新しい証明書の導入が正しく行われたことを示します。

openssl x509 -in $cert -fingerprint -sha256 -noout

ここで、 authc サービスが稼働している場合は、インバウンド接続に提供する証明書が上記と同じであることを確認できます。

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*上記のコマンドはNetWorkerサーバー自体から実行されているため、localhostに接続されます。外部からの接続 <nw server name>:9090
 

NetWorkerユーザー インターフェイス(nwui)サービス証明書の交換手順:

私たちは、 nwui サービスがNetWorkerサーバーで実行されている。

• 停止する nwui サービス

  systemctl stop nwui

• デフォルトのNetWorker自己署名証明書を削除し、新しいCA署名証明書ファイル(<server>.crt)をcacertsキーストアにコピーします。一貫性を保つために、すべての nwui関連する証明書をCA署名付き証明書とともに使用します。

  • 次の手順を実行する前に、NetWorker Runtime Environment (NRE)とJava Runtime Environment (JRE)のどちらが使用されているかを確認する必要があります。
  • JREを使用する場合、/cacertsのパスは次の場所にあります。 $java_bin/../lib/security/cacertsの詳細を確認してください。
  • NREを使用する場合、/cacertsのパスは次の場所にあります。 /opt/nre/java/latest/lib/security/cacertsの詳細を確認してください。

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

• NetWorkerサーバーのプライベート キー ファイル(<server>.key)と新しいCA署名付き証明書ファイル(<server>.crt)を使用して、 emcauthctomcat と emcauthcsaml のエイリアス nwui キーストアにインポートします。

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  メモ: pkcs12ファイルのパスワードは、キーストアのパスワードと一致している必要があります。そのため、このケースでは、 nwui storepassです。

• .p12ファイル、ルートCA証明書、中間CA証明書を nwui キーストアにインポートします。

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• 名前を emcnwuimonitoring、 emcnwuiauthcと emcnwuiserv certificatesを作成し、サーバー証明書を同じ名前でこのパスに配置します。

  mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer
  
  mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

• を開始します。 nwui サービス

  systemctl start nwui

nwui 事後検証:

各「証明書フィンガープリント」エイリアスの出力は、他のキーストアの出力と一致します。

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

このフィンガープリントは、インストールされた証明書のものです。これは、異なるキーストアへの新しい証明書の導入が正しく行われたことを示します。

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui PostgreSQL証明書の交換手順

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

CA署名証明書のインポートの詳細については、 Dell NetWorkerセキュリティ構成ガイドを参照してください。

NetWorker Management Console (NMC)自己署名証明書をCA署名証明書に置き換えるプロセスの詳細については、次のKBを参照してください。

NetWorker：NMCの認証局署名済み証明書をインポートまたは置換する方法」