NetWorker: Certificaten importeren of vervangen die door de certificeringsinstantie zijn ondertekend voor "Authc" en "NWUI" (Linux)

Summary: Dit zijn de algemene stappen voor het vervangen van het standaard zelfondertekende NetWorker-certificaat door een door de certificeringsinstantie (CA) ondertekend certificaat voor de services "authc" en "nwui". ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In deze instructies wordt beschreven hoe u het standaard zelfondertekende NetWorker-certificaat vervangt door een CA-ondertekend certificaat voor de authc als nwui services op de NetWorker-server.

De bestandsnamen hebben geen naamgevingsvereiste, maar de extensies moeten worden vermeld voor het type bestand. De getoonde opdrachtvoorbeelden zijn voor Linux. Zie voor Windows-instructies:.
NetWorker: Certificaten importeren of vervangen die door de certificeringsinstantie zijn ondertekend voor "Authc" en "NWUI" (Windows)
 

OPMERKING: Als de omgeving wordt uitgevoerd op een NetWorker Virtual Edition (NVE) server, gebruikt u het volledige pad naar het Java-hulpprogramma voor de NetWorker Runtime-omgeving (/opt/nre/java/latest/bin/keytool) in plaats van het standaard Java-hulpprogramma (/usr/bin/keytool).


Betrokken certificaatbestanden:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Betrokken Keystores:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Genereer een CM-bestand (Certificate Signing Request) en een bestand voor een persoonlijke sleutel en een CSR-bestand (Certificate Signing Request) dat u aan uw CA kunt verstrekken.

  • Gebruik het OpenSSL-opdrachtregelhulpprogramma om het bestand met de persoonlijke sleutel van de NetWorker-server te maken (<server>.key) en het MVO-dossier (<server>.csr).

    # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

  • Stuur het CSR-bestand (<server>.csr) naar de certificeringsinstantie om het door de certificeringsinstantie ondertekende certificaatbestand (<server>.crt). De CA moet het door de CA ondertekende certificaatbestand (<server>.crt), het basiscertificaat (<CA>.crt), en eventuele tussenliggende CA-certificaten (<ICA>.crt).

Stappen voorafgaand aan de verificatie:

Zorg dat u over het volgende beschikt:

  • server.crt-bestand, dat een PEM-certificaat bevat waarvan de eerste regel -----BEGIN CERTIFICATE----- is en de laatste regel -----END CERTIFICATE-----
  • Het sleutelbestand begint met -----BEGIN RSA PRIVATE KEY----- en eindigt met -----END RSA PRIVATE KEY-----
  • Controleer of alle certificaten geldige PEM-indelingsbestanden zijn door het volgende uit te voeren: openssl x509 -in <cert> -text -noout.
  • Controleer de bovenstaande uitvoer om er zeker van te zijn dat het om het juiste certificaat gaat.
  • Controleer de uitvoer van de volgende twee opdrachten: 
    openssl rsa -pubout -in server.key
    openssl x509 -pubkey -noout -in server.crt
    De uitvoer van deze twee opdrachten moet overeenkomen.

Om de hieronder beschreven stappen en opdrachten te vergemakkelijken, maken we de volgende variabelen:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Als er meer dan één tussenliggend certificaat is, maakt u variabelen voor elk certificaat: ICA1, ICA2, enzovoort

U moet de juiste NetWorker keystore-wachtwoorden weten. Deze wachtwoorden worden ingesteld tijdens de AUTHC- en NWUI-configuratie. Als u het niet zeker weet, raadpleegt u:

U kunt ook uw keystore pass variabelen gebruiken (optie 1) of ze opslaan in een bestand om het wachtwoord verborgen te houden (optie 2):
Voorbeeld voor optie 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Voorbeeld voor optie 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Voordat u begint:

Maak een back-up van de keystore- en configuratiebestanden die worden bijgewerkt.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

 

Stappen voor vervanging van authenticatieservicecertificaat:

De authc De service hoeft niet te worden gestopt om de onderstaande procedure te laten werken. Het moet echter opnieuw worden gestart om de nieuwe certificaten te laden.

  1. Importeren van de certificaten

    • Importeer het basiscertificaat (<CA>.crt) en eventuele tussenliggende CA-certificaten (<ICA>.crt) in de authc.keystore.

      $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
$java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
$java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

    • Gebruik het bestand met de persoonlijke sleutel van NetWorker Server (<server>.key) en het nieuwe CA-ondertekende certificaatbestand (<server>.crt) om een PKCS12-opslagbestand te maken voor de emcauthctomcat als emcauthcsaml alias.

      openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass
      OPMERKING: Het wachtwoord van het pkcs12-bestand moet overeenkomen met het wachtwoord van de keystore. Daarom maken we het in dit geval met de authc StorePass.

    • Importeer de PKCS12-opslagbestanden naar het authc.keystore.

      $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Importeer de PKCS12-opslagbestanden naar het authc.truststore.

      $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Verwijder het standaard zelfondertekende NetWorker-certificaat en importeer het nieuwe CA-ondertekende certificaatbestand (<server>.crt) in de authc.truststore.

      $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
$java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

    • Importeer ten slotte dit certificaat in het Java cacerts keystore-bestand onder emcauthctomcat alias:

      $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  2. Bewerk de admin_service_default_url=localhost waarde in de authc-cli-app.properties bestand om de NetWorker Server-naam weer te geven die wordt gebruikt in het CA-ondertekende certificaatbestand:

    cat /opt/nsr/authc-server/conf/authc-cli-app.properties
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  3. Een herstart van de NetWorker-services is nodig voor authc om het nieuwe geïmporteerde certificaat te gebruiken.
nsr_shutdown 
systemctl start networker

  1. Opnieuw instellen authc Vertrouwen op de NetWorker-server:

    nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Verificaties achteraf:

De uitvoer van elke alias voor "Certificate fingerprint" valt samen met die van de andere keystores:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

De uitvoer moet er ongeveer zo uitzien:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Deze vingerafdruk is afkomstig van het certificaat dat is geïnstalleerd. Dit geeft aan dat de introductie van het nieuwe certificaat in de verschillende keystores correct is uitgevoerd.

openssl x509 -in $cert -fingerprint -sha256 -noout

Wanneer de authc service actief is, kunt u controleren of het certificaat dat het verstrekt aan een binnenkomende verbinding hetzelfde is als het bovenstaande:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*De bovenstaande opdracht is uitgevoerd vanaf de NetWorker-server zelf, zodat deze verbinding maakt met localhost. Aansluitingen van buitenaf <nw server name>:9090
 

NetWorker-gebruikersinterface (nwui) Stappen voor vervanging van servicecertificaten:

We gaan ervan uit dat de nwui Services worden uitgevoerd op de NetWorker-server.

  • Stop de nwui dienst

    systemctl stop nwui

  • Verwijder de standaard zelfondertekende NetWorker-certificaten en importeer het nieuwe CA-ondertekende certificaatbestand (<server>.crt) in de CACents Keystore. Voor consistentie vervangen we alle nwui-gerelateerde certificaten met het CA-ondertekende certificaat.

    • Voordat u de volgende stappen uitvoert, moet u bepalen of NetWorker Runtime Environment (NRE) of Java Runtime Environment (JRE) wordt gebruikt.
    • Als JRE wordt gebruikt, is het pad van /cacerts op $java_bin/../lib/security/cacerts.
    • Als NRE wordt gebruikt, is het pad van /cacerts op /opt/nre/java/latest/lib/security/cacerts. 
      $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  • Gebruik het bestand met de persoonlijke sleutel van NetWorker Server (<server>.key) en het nieuwe CA-ondertekende certificaatbestand (<server>.crt) om een PKCS12-opslagbestand te maken voor de emcauthctomcat als emcauthcsaml alias voor de nwui keystore.

    openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass
    OPMERKING: Het wachtwoord van het pkcs12-bestand moet overeenkomen met het wachtwoord van de keystore. Daarom maken we het in dit geval met de nwui StorePass.

  • Importeer de .p12-bestanden, het basis-CA-certificaat en tussenliggende CA-certificaten in de nwui keystore.

    $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

  • Naam van de emcnwuimonitoring, emcnwuiauthcen emcnwuiserv certificaten, en plaats ons servercertificaat hier in dit pad met dezelfde naam.

    mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer

mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
cp $cert /opt/nwui/conf/emcnwuiauthc.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer

mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
cp $cert /opt/nwui/conf/emcnwuiserv.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

  • Start de nwui diensten

    systemctl start nwui

nwui Verificaties achteraf:

De uitvoer van elke alias voor "Certificate fingerprint" valt samen met die van de andere keystores:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Deze vingerafdruk is afkomstig van het certificaat dat is geïnstalleerd. Dit geeft aan dat de introductie van het nieuwe certificaat in de verschillende keystores correct is uitgevoerd.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Stappen voor het vervangen van PostgreSQL-certificaten

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key
OPMERKING: De eigenaar van de <server>.crt als <server>.key bestanden moeten de gebruiker zijn waaronder de PostgreSQL-database wordt uitgevoerd.
  • Linux: nsrnwui

Additional Information

Zie de Dell NetWorker Security Configuration Guide voor meer informatie over het importeren van een CA-ondertekend certificaat.

Het proces voor het vervangen van het zelfondertekende certificaat van de NetWorker Management Console (NMC) door een CA-ondertekend certificaat wordt beschreven in de volgende KB:

NetWorker: Ondertekende certificaten van certificeringsinstantie importeren of vervangen voor NMC

Affected Products

NetWorker Family, NetWorker
Article Properties
Article Number: 000194900
Article Type: How To
Last Modified: 14 Nov 2025
Version:  24
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.