NetWorker: "Authc" ve "NWUI" için Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme (Linux)

Bu talimatlarda, varsayılan NetWorker kendinden imzalı sertifikasının CA tarafından imzalanmış bir sertifikayla nasıl değiştirileceği açıklanmaktadır. authc ve nwui NetWorker sunucusundaki hizmetler.

Dosya adlarının adlandırma gereksinimi yoktur ancak dosya türü için uzantılar referans alınmalıdır. Gösterilen komut örnekleri Linux içindir. Windows talimatları için bkz.
Ağ Çalışanı: "Authc" ve "NWUI" için Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme (Windows)
 

İlgili sertifika dosyaları:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

İlgili anahtar depoları:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Sertifika Yetkilinize sağlamak için bir özel anahtar ve sertifika imzalama isteği (CSR) dosyası oluşturun.

• NetWorker sunucusu özel anahtar dosyasını oluşturmak için OpenSSL komut satırı yardımcı programını kullanın (<server>.key) ve CSR dosyası (<server>.csr).

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• CSR dosyasını (<server>.csr) CA imzalı sertifika dosyasını oluşturmak için CA'ya (<server>.crt). CA, CA tarafından imzalanmış sertifika dosyasını (<server>.crt), kök sertifika (<CA>.crt) ve ara CA sertifikaları (<ICA>.crt).

Ön doğrulama adımları:

Aşağıdakilere sahip olduğunuzdan emin olun:

• İlk satırı -----BEGIN CERTIFICATE----- ve son satırı -----END CERTIFICATE olan bir PEM sertifikası içeren server.crt dosyası-----
• Anahtar dosyası -----BEGIN RSA PRIVATE KEY----- ile başlar ve -----END RSA PRIVATE KEY ile biter-----
• Aşağıdaki komutu çalıştırarak tüm sertifikaların geçerli PEM biçimli dosyalar olduğunu onaylayın: openssl x509 -in <cert> -text -noout.
• Doğru sertifika olduğundan emin olmak için yukarıdaki çıktıyı doğrulayın.
• Aşağıdaki iki komutun çıktılarını kontrol edin:

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  Bu iki komutun çıktısı eşleşmelidir.

Aşağıda açıklanan adımları ve komutları uygulayabilmek için şu değişkenleri oluşturuyoruz:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Birden fazla ara sertifika varsa her sertifika için değişkenler oluşturun: ICA1, ICA2 vb

. Doğru NetWorker anahtar deposu parolalarını bilmeniz gerekir. Bu parolalar AUTHC ve NWUI yapılandırması sırasında ayarlanır. Emin değilseniz bkz.:

• NetWorker kimlik doğrulaması ve NWUI hizmetinin anahtar deposu parolasını alma

Anahtar deposu geçiş değişkenlerinizi de kullanabilir (1. seçenek) veya parolayı gizli tutmak için bunları bir dosyada saklayabilirsiniz (2. seçenek):
Seçenek 1 için örnek:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

2. seçeneğe örnek:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Başlamadan önce:

Güncelleştirilen anahtar deposunun ve yapılandırma dosyalarının yedek kopyasını alın.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

Auth Service Sertifikası Değiştirme Adımları:

Komutta authc Aşağıdaki prosedürün çalışması için hizmetin durdurulması gerekmez. Ancak yeni sertifikaların yüklenmesi için yeniden başlatılması gerekir.

1. Sertifikaları içe aktarma

   • Kök sertifikayı (<CA>.crt) ve ara CA sertifikaları (<ICA>.crt) içine authc.keystore.

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • NetWorker Sunucusu özel anahtar dosyasını (<server>.key) ve CA imzalı yeni sertifika dosyası (<server>.crt) için bir PKCS12 depolama dosyası oluşturmak için emcauthctomcat ve emcauthcsaml takma ad.

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     NOT: pkcs12 dosya parolası, anahtar deposunun parolasıyla eşleşmek zorundadır. Bu nedenle, bu durumda, onu authc mağaza geçişi.

   • PKCS12 depo dosyalarını authc.keystore.

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • PKCS12 depo dosyalarını authc.truststore.

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Varsayılan NetWorker kendinden imzalı sertifikasını silin ve yeni CA imzalı sertifika dosyasını içe aktarın (<server>.crt) içine authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • Son olarak bu sertifikayı şu adresteki Java cacerts anahtar deposu dosyasına aktarın: emcauthctomcat Takma ad:

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

2. Şunu düzenleyin: admin_service_default_url=localhost içindeki değer authc-cli-app.properties CA tarafından imzalanmış sertifika dosyasında kullanılan NetWorker Sunucusu adını yansıtacak dosya:

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. Şu durumlar için NetWorker hizmetlerinin yeniden başlatılması gerekir: authc Yeni içe aktarılan sertifikayı kullanmak için.

nsr_shutdown 
systemctl start networker

4. Yeniden kur authc NetWorker sunucusunda güven:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc doğrulama sonrası:

Her "Sertifika parmak izi" diğer anahtar deposunun çıktısıyla çakışır:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Çıktı şuna benzemelidir:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Bu parmak izi, yüklenen sertifikaya aittir. Bu, yeni sertifikanın farklı anahtar depolarına tanıtılmasının doğru bir şekilde yapıldığını gösterir.

openssl x509 -in $cert -fingerprint -sha256 -noout

Ne zaman authc Hizmet çalışır durumdaysa gelen bağlantıya sağladığı sertifikanın yukarıdakiyle aynı olup olmadığını kontrol edebilirsiniz:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Yukarıdaki komut, NetWorker sunucusunun kendisinden çalıştırıldığından localhost'a bağlanır. Dış kullanımdan bağlantılar <nw server name>:9090
 

NetWorker Kullanıcı Arayüzü (nwui) Hizmet Belgesi Değiştirme Adımları:

Varsayıyoruz ki nwui hizmetleri NetWorker sunucusu üzerinde çalışmaktadır.

• Durdurun nwui hizmet

  systemctl stop nwui

• Varsayılan NetWorker kendinden imzalı sertifikalarını silin ve yeni CA imzalı sertifika dosyasını içe aktarın (<server>.crt) cacerts anahtar deposuna. Tutarlılık için hepsini değiştiriyoruz nwui-CA imzalı sertifikaya sahip sertifikalar.

  • Aşağıdaki adımları gerçekleştirmeden önce NetWorker Runtime Environment (NRE) veya Java Runtime Environment (JRE) kullanıldığından emin olmak gerekir.
  • JRE kullanılırsa /cacerts dosyasının yolu şu konumdadır: $java_bin/../lib/security/cacerts.
  • NRE kullanılırsa /cacerts yolu şu şekildedir: /opt/nre/java/latest/lib/security/cacerts.

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

• NetWorker Sunucusu özel anahtar dosyasını (<server>.key) ve CA imzalı yeni sertifika dosyası (<server>.crt) için bir PKCS12 depolama dosyası oluşturmak için emcauthctomcat ve emcauthcsaml için diğer ad nwui anahtar deposuna aktarın.

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  NOT: pkcs12 dosya parolası, anahtar deposunun parolasıyla eşleşmek zorundadır. Bu nedenle, bu durumda, onu nwui mağaza geçişi.

• .p12 dosyalarını, kök CA sertifikasını ve ara CA sertifikalarını nwui anahtar deposuna aktarın.

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• Şunu yeniden adlandırın: emcnwuimonitoring, emcnwuiauthcve emcnwuiserv sertifikalarını ekleyip sunucu sertifikamızı aynı adla bu yola koyun.

  mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer
  
  mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

• Başlat nwui Hizmetleri

  systemctl start nwui

nwui Doğrulama sonrası:

Her "Sertifika parmak izi" diğer anahtar deposunun çıktısıyla çakışır:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Bu parmak izi, yüklenen sertifikaya aittir. Bu, yeni sertifikanın farklı anahtar depolarına tanıtılmasının doğru bir şekilde yapıldığını gösterir.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui PostgreSQL Sertifika Değiştirme Adımları

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

CA imzalı bir sertifikayı içe aktarma hakkında daha fazla bilgi için bkz . Dell NetWorker Güvenlik Yapılandırma Rehberi.

NetWorker Management Console (NMC) kendinden imzalı sertifikasını CA imzalı bir sertifikayla değiştirme süreci aşağıdaki KB'de ayrıntılı olarak açıklanmıştır:

NetWorker: NMC İçin Sertifika Yetkilisi İmzalı Sertifikaları İçe Aktarma veya Değiştirme