NetWorker: Så här importerar eller ersätter du signerade certifikat från certifikatutfärdare för "Authc" och "NWUI" (Linux)

Summary: Det här är de allmänna stegen för att ersätta det självsignerade standardcertifikatet för NetWorker med ett certifikat signerat av en certifikatutfärdare (CA) för tjänsterna "authc" och "nwui". ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

I de här anvisningarna beskrivs hur du ersätter det självsignerade standardcertifikatet för NetWorker med ett CA-signerat certifikat för authc och nwui tjänster på NetWorker-servern.

Filnamnen har inget namngivningskrav, men tilläggen ska refereras till för filtypen. Kommandoexemplen som visas är för Linux. Anvisningar för Windows finns i:.
NetWorker: Så här importerar eller ersätter du certifikat signerade av certifikatutfärdare för "Authc" och "NWUI" (Windows)
 

Obs! Om miljön körs på en NetWorker Virtual Edition-server (NVE) använder du den fullständiga sökvägen till Java-nyckelverktyget för NetWorker Runtime Environment (/opt/nre/java/latest/bin/keytool) i stället för standardverktyget för Java-nyckelverktyg (/usr/bin/keytool).


Berörda certifikatfiler:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Berörda nyckelbehållare:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Generera en CSR-fil (Private Key and Certificate Signing Request) som du ska tillhandahålla till certifikatutfärdaren.

  • Använd kommandoradsverktyget OpenSSL för att skapa NetWorker-serverns privata nyckelfil (<server>.key) och CSR-fil (<server>.csr).

    # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

  • Skicka CSR-filen (<server>.csr) till certifikatutfärdaren för att generera den CA-signerade certifikatfilen (<server>.crt). Certifikatutfärdaren ska tillhandahålla den CA-signerade certifikatfilen (<server>.crt), rotcertifikatet (<CA>.crt) och eventuella mellanliggande CA-certifikat (<ICA>.crt).

Steg före verifiering:

Se till att du har följande:

  • server.crt-fil, som innehåller ett PEM-certifikat vars första rad är -----BEGIN CERTIFICATE----- och den sista raden är -----END CERTIFICATE-----
  • Nyckelfilen börjar med -----BEGIN RSA PRIVATE KEY----- och slutar med -----END RSA PRIVATE KEY-----
  • Bekräfta att alla certifikat är giltiga PEM-formatfiler genom att köra openssl x509 -in <cert> -text -noout.
  • Kontrollera ovanstående utdata för att vara säker på att det är rätt certifikat.
  • Kontrollera utdata för följande två kommandon: 
    openssl rsa -pubout -in server.key
    openssl x509 -pubkey -noout -in server.crt
    Utdata från dessa två kommandon måste matcha.

För att underlätta de steg och kommandon som beskrivs nedan skapar vi följande variabler:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Om det finns fler än ett mellanliggande certifikat skapar du variabler för varje certifikat: ICA1, ICA2 osv

. Du måste känna till de korrekta lösenorden för NetWorker-nyckelbehållaren. Dessa lösenord anges under AUTHC- och NWUI-konfigurationen. Om du är osäker, se:

Du kan också använda dina nyckellagerpassvariabler (alternativ 1) eller lagra dem i en fil för att hålla lösenordet dolt (alternativ 2):
Exempel för alternativ 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Exempel på alternativ 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Innan du börjar:

Gör en säkerhetskopia av nyckelbehållaren och konfigurationsfilerna som uppdateras.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

 

Steg för byte av auktoriseringstjänstcertifikat:

Informationen authc Tjänsten behöver inte stoppas för att nedanstående procedur ska fungera. Den måste dock startas om för att de nya certifikaten ska läsas in.

  1. Importera certifikaten

    • Importera rotcertifikatet (<CA>.crt) och eventuella mellanliggande CA-certifikat (<ICA>.crt) till authc.keystore.

      $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
$java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
$java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

    • Använd den privata nyckelfilen för NetWorker-servern (<server>.key) och den nya CA-signerade certifikatfilen (<server>.crt) för att skapa en PKCS12-lagringsfil för emcauthctomcat och emcauthcsaml alias.

      openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass
      Obs! Fillösenordet för pkcs12 måste matcha lösenordet för nyckelbehållaren. Det är därför vi i det här fallet skapar den med authc StorePass.

    • Importera PKCS12-arkivfilerna till authc.keystore.

      $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Importera PKCS12-arkivfilerna till authc.truststore.

      $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Ta bort det självsignerade standardcertifikatet för NetWorker och importera den nya CA-signerade certifikatfilen (<server>.crt) till authc.truststore.

      $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
$java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

    • Importera slutligen det här certifikatet till Java cacerts-nyckelfilen under emcauthctomcat alias:

      $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  2. Redigera admin_service_default_url=localhost värdet i authc-cli-app.properties för att återspegla NetWorker-servernamnet som används i den CA-signerade certifikatfilen:

    cat /opt/nsr/authc-server/conf/authc-cli-app.properties
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  3. NetWorker-tjänster måste startas om för authc för att använda det nya importerade certifikatet.
nsr_shutdown 
systemctl start networker

  1. Återupprätta authc förtroende på NetWorker-servern:

    nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc-efterverifieringar:

Utdata för varje alias "Certifikatfingeravtryck" sammanfaller med utdata för de andra nyckelbehållarna:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Utdata bör se ut ungefär så här:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Det här fingeravtrycket kommer från certifikatet som installerades. Detta indikerar att introduktionen av det nya certifikatet i de olika nyckelbehållarna gjordes korrekt.

openssl x509 -in $cert -fingerprint -sha256 -noout

När authc tjänsten är igång kan du kontrollera att certifikatet som tillhandahålls till en inkommande anslutning är detsamma som ovanstående:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Kommandot ovan kördes från själva NetWorker-servern, så det ansluter till localhost. Anslutningar från extern användning <nw server name>:9090
 

NetWorker-användargränssnitt (nwui) Steg för utbyte av servicecertifikat:

Vi antar att nwui tjänster körs på NetWorker-servern.

  • Stoppa nwui tjänst

    systemctl stop nwui

  • Ta bort de självsignerade standardcertifikaten för NetWorker och importera den nya CA-signerade certifikatfilen (<server>.crt) i CACERTS-nyckelbehållaren. För konsekvensens skull byter vi ut alla nwui-relaterade certifikat med det CA-signerade certifikatet.

    • Det är nödvändigt att avgöra om NetWorker Runtime Environment (NRE) eller Java Runtime Environment (JRE) används innan du utför följande steg.
    • Om JRE används är sökvägen till /cacerts på $java_bin/../lib/security/cacerts.
    • Om NRE används är sökvägen för /cacerts på /opt/nre/java/latest/lib/security/cacerts. 
      $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  • Använd den privata nyckelfilen för NetWorker-servern (<server>.key) och den nya CA-signerade certifikatfilen (<server>.crt) för att skapa en PKCS12-lagringsfil för emcauthctomcat och emcauthcsaml alias för nwui nyckelbehållare.

    openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass
    Obs! Fillösenordet för pkcs12 måste matcha lösenordet för nyckelbehållaren. Det är därför vi i det här fallet skapar den med nwui StorePass.

  • Importera .p12-filerna, rotcertifikatutfärdarcertifikatet och mellanliggande CA-certifikat till nwui nyckelbehållare.

    $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

  • Byt namn på emcnwuimonitoring, emcnwuiauthcoch emcnwuiserv certifikat och placera vårt servercertifikat här i den här sökvägen med samma namn.

    mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer

mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
cp $cert /opt/nwui/conf/emcnwuiauthc.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer

mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
cp $cert /opt/nwui/conf/emcnwuiserv.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

  • Starta nwui tjänster

    systemctl start nwui

nwui Efterkontroller:

Utdata för varje alias "Certifikatfingeravtryck" sammanfaller med utdata för de andra nyckelbehållarna:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Det här fingeravtrycket kommer från certifikatet som installerades. Detta indikerar att introduktionen av det nya certifikatet i de olika nyckelbehållarna gjordes korrekt.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Steg för byte av PostgreSQL-certifikat

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key
Obs! Ägaren till <server>.crt och <server>.key filer måste vara den användare under vilken PostgreSQL-databasen körs.
  • Linux: nsrnwui

Additional Information

Mer information om hur du importerar ett CA-signerat certifikat finns i guiden för Dell NetWorker-säkerhetskonfiguration.

Processen för att ersätta det självsignerade NetWorker Management Console-certifikatet (NMC) med ett CA-signerat certifikat beskrivs i följande KB:

NetWorker: Så här importerar eller ersätter du signerade certifikat från certifikatutfärdare för NMC

Affected Products

NetWorker Family, NetWorker
Article Properties
Article Number: 000194900
Article Type: How To
Last Modified: 14 Nov 2025
Version:  24
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.