NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "Authc" og "NWUI" (Linux)

Summary: Dette er de generelle trinnene for å erstatte det standard NetWorker selvsignerte sertifikatet med et sertifikatmyndighet (CA)-signert sertifikat for tjenestene "authc" og "nwui".

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Disse instruksjonene beskriver hvordan du erstatter det standard NetWorker selvsignerte sertifikatet med et CA-signert sertifikat for authc og nwui -tjenester på NetWorker-serveren.

Filnavnene har ikke et navnekrav, men utvidelsene skal refereres til for filtypen. Kommandoeksemplene som vises er for Linux. Hvis du vil ha Windows-instruksjoner, kan du se:
NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "Authc" og "NWUI" (Windows)
 

MERK: Hvis miljøet kjører på en NVE-server (NetWorker Virtual Edition), bruker du hele banen til Java-keytool-verktøyet for NetWorker Runtime Environment (/opt/nre/java/latest/bin/keytool) i stedet for standardverktøyet Java keytool (/usr/bin/keytool).


Sertifikatfiler involvert:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Nøkkelbutikker involvert:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Generer en privat nøkkel og en forespørsel om sertifikatsignering (CSR)-fil som du kan sende til sertifiseringsinstansen.

  • Bruk kommandolinjeverktøyet OpenSSL til å opprette en privat nøkkelfil for NetWorker-serveren (<server>.key) og CSR-fil (<server>.csr).

    # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

  • Send CSR-filen (<server>.csr) til sertifiseringsinstansen for å generere den CA-signerte sertifikatfilen (<server>.crt). Sertifiseringsinstansen skal levere den CA-signerte sertifikatfilen (<server>.crt), rotsertifikatet (<CA>.crt), og eventuelle mellomliggende CA-sertifikater (<ICA>.crt).

Trinn for forhåndsbekreftelse:

Kontroller at du har følgende:

  • server.crt-fil, som inneholder et PEM-sertifikat der den første linjen er -----BEGIN CERTIFICATE----- og den siste linjen er -----END CERTIFICATE-----
  • Nøkkelfilen starter med -----BEGIN RSA PRIVATE KEY----- OG SLUTTER MED -----END RSA PRIVATE KEY-----
  • Bekreft at alle sertifikater er gyldige filer i PEM-format ved å kjøre openssl x509 -in <cert> -text -noout.
  • Kontroller utdataene ovenfor for å være sikker på at det er riktig sertifikat.
  • Kontroller utdataene fra følgende to kommandoer: 
    openssl rsa -pubout -in server.key
    openssl x509 -pubkey -noout -in server.crt
    Utdataene fra disse to kommandoene må samsvare.

For å forenkle trinnene og kommandoene som er beskrevet nedenfor, oppretter vi følgende variabler:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Hvis det er mer enn ett mellomliggende sertifikat, oppretter du variabler for hvert sertifikat: ICA1, ICA2 og så videre

Du må kjenne de riktige NetWorker-passordene for nøkkellagring. Disse passordene angis under AUTHC- og NWUI-konfigurasjonen. Hvis du ikke er sikker, kan du se:

Du kan også bruke passordpassordvariablene (alternativ 1) eller lagre dem i en fil for å holde passordet skjult (alternativ 2):
Eksempel på alternativ 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Eksempel på alternativ 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Før du begynner:

Ta en sikkerhetskopi av nøkkellageret og konfigurasjonsfilene som er oppdatert.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

 

Utskiftingstrinn for autorisasjonsservicesertifikat:

Informasjonen i authc Tjenesten trenger ikke å stoppes for at fremgangsmåten nedenfor skal fungere. Den må imidlertid startes på nytt for at de nye sertifikatene skal lastes inn.

  1. Importere sertifikatene

    • Importere rotsertifikatet (<CA>.crt) og eventuelle mellomliggende CA-sertifikater (<ICA>.crt) inn i authc.keystore.

      $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
$java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
$java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

    • Bruk NetWorker Server privatnøkkelfil (<server>.key) og den nye CA-signerte sertifikatfilen (<server>.crt) for å opprette en PKCS12-butikkfil for emcauthctomcat og emcauthcsaml Alias.

      openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass
      MERK: Passordet til pkcs12-filen samsvare med passordet til nøkkellageret. Dette er grunnen til at vi i dette tilfellet lager det med authc StorePass.

    • Importer PKCS12-butikkfilene til authc.keystore.

      $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Importer PKCS12-butikkfilene til authc.truststore.

      $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Slett det selvsignerte NetWorker-standardsertifikatet, og importer den nye CA-signerte sertifikatfilen (<server>.crt) inn i authc.truststore.

      $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
$java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

    • Til slutt importere dette sertifikatet til Java cacerts keystore filen under emcauthctomcat Alias:

      $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  2. Rediger ikonet admin_service_default_url=localhost -verdien i authc-cli-app.properties -fil som gjenspeiler NetWorker-servernavnet som brukes i den CA-signerte sertifikatfilen:

    cat /opt/nsr/authc-server/conf/authc-cli-app.properties
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  3. En omstart av NetWorker-tjenestene er nødvendig for authc for å bruke det nye importerte sertifikatet.
nsr_shutdown 
systemctl start networker

  1. Gjenopprette authc Stol på NetWorker-serveren:

    nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc post-verifikasjoner:

Utdataene fra hvert alias for "Certificate fingerprint" sammenfaller med aliasene til de andre nøkkellagrene:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Utgangen skal være lik denne:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Dette fingeravtrykket er fra sertifikatet som ble installert. Dette indikerer at innføringen av det nye sertifikatet i de forskjellige nøkkellagrene ble gjort riktig.

openssl x509 -in $cert -fingerprint -sha256 -noout

Når authc Tjenesten er oppe og går, kan du kontrollere at sertifikatet den gir til en innkommende tilkobling, er det samme som ovenfor:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Kommandoen ovenfor ble kjørt fra selve NetWorker-serveren, slik at den kobles til localhost. Tilkoblinger utenfra <nw server name>:9090
 

NetWorker-brukergrensesnitt (nwui) Trinn for utskifting av servicesertifikat:

Vi antar at nwui -tjenestene kjører på NetWorker-serveren.

  • Stopp nwui tjeneste

    systemctl stop nwui

  • Slett standard NetWorker selvsignerte sertifikater og importere den nye CA-signerte sertifikatfilen (<server>.crt) inn i cacerts nøkkellager. For konsistens bytter vi ut alle nwui-relaterte sertifikater med CA-signert sertifikat.

    • Det er nødvendig å finne ut om NetWorker Runtime Environment (NRE) eller Java Runtime Environment (JRE) brukes før du utfører følgende trinn.
    • Hvis JRE brukes, er banen til /cacerts ved $java_bin/../lib/security/cacerts.
    • Hvis NRE brukes, er banen til /cacerts ved /opt/nre/java/latest/lib/security/cacerts. 
      $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  • Bruk NetWorker Server privatnøkkelfil (<server>.key) og den nye CA-signerte sertifikatfilen (<server>.crt) for å opprette en PKCS12-butikkfil for emcauthctomcat og emcauthcsaml Alias for nwui nøkkellager.

    openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass
    MERK: Passordet til pkcs12-filen samsvare med passordet til nøkkellageret. Dette er grunnen til at vi i dette tilfellet lager det med nwui StorePass.

  • Importer .p12-filer, rot-CA-sertifikat og midlertidige CA-sertifikater til nwui nøkkellager.

    $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

  • Gi nytt navn til emcnwuimonitoring, emcnwuiauthcog emcnwuiserv sertifikater, og legg serversertifikatet vårt her i denne banen med samme navn.

    mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer

mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
cp $cert /opt/nwui/conf/emcnwuiauthc.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer

mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
cp $cert /opt/nwui/conf/emcnwuiserv.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

  • Start nwui Tjenester

    systemctl start nwui

nwui Ettervurderinger:

Utdataene fra hvert alias for "Certificate fingerprint" sammenfaller med aliasene til de andre nøkkellagrene:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Dette fingeravtrykket er fra sertifikatet som ble installert. Dette indikerer at innføringen av det nye sertifikatet i de forskjellige nøkkellagrene ble gjort riktig.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Trinn for utskifting av PostgreSQL-sertifikat

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key
MERK: Eieren av <server>.crt og <server>.key -filer må være brukeren som PostgreSQL-databasen kjører under.
  • Linux: nsrnwui

Additional Information

Hvis du vil ha mer informasjon om hvordan du importerer et CA-signert sertifikat, kan du se veiledningen for sikkerhetskonfigurasjon for Dell NetWorker.

Prosessen for å erstatte det selvsignerte NetWorker Management Console-sertifikatet (NMC) med et CA-signert sertifikat er beskrevet i følgende KB:

NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for NMC

Affected Products

NetWorker Family, NetWorker
Article Properties
Article Number: 000194900
Article Type: How To
Last Modified: 14 Nov 2025
Version:  24
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.