NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro „Authc“ a „NWUI“ (Linux)

Summary: Toto jsou obecné kroky pro nahrazení výchozího certifikátu NetWorker podepsaného držitelem certifikátem podepsaným certifikační autoritou (CA) pro služby "authc" a "nwui".

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tyto pokyny popisují, jak nahradit výchozí certifikát NetWorker podepsaný držitelem certifikátem podepsaným certifikační autoritou pro authc a nwui služby na serveru NetWorker.

Názvy souborů nemají požadavek na pojmenování, ale pro typ souboru by měly být uvedeny přípony. Uvedené příklady příkazů jsou určeny pro systém Linux. Pokyny pro systém Windows naleznete v tématu:.
NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro služby „Authc“ a „NWUI“ (Windows)
 

POZNÁMKA: Pokud je prostředí spuštěno na serveru NetWorker Virtual Edition (NVE), použijte namísto výchozího nástroje Java Keytool (/usr/bin/keytool) úplnou cestu k nástroji Java Keytool prostředí NetWorker Runtime Environment (/opt/nre/java/latest/bin/keytool).


Dotčené soubory certifikátů:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Zapojená úložiště klíčů:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Vygenerujte soukromý klíč a soubor požadavku na podpis certifikátu (CSR), který poskytnete své certifikační autoritě.

  • Pomocí nástroje příkazového řádku OpenSSL vytvořte soubor privátního klíče serveru NetWorker (<server>.key) a CSR (<server>.csr).

    # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

  • Odešlete soubor CSR (<server>.csr) certifikačnímu úřadu, aby vygeneroval soubor certifikátu podepsaný certifikační autoritou (<server>.crt). Certifikační autorita by měla poskytnout soubor certifikátu podepsaný certifikační autoritou (<server>.crt), kořenový certifikát (<CA>.crt) a všechny certifikáty zprostředkující certifikační autority (<ICA>.crt).

Kroky před ověřením:

Ujistěte se, že máte následující:

  • server.crt, který obsahuje certifikát PEM, jehož první řádek je -----BEGIN CERTIFICATE----- a poslední řádek je -----END CERTIFICATE-----
  • Soubor klíče začíná -----BEGIN RSA PRIVATE KEY----- a končí -----END RSA PRIVATE KEY-----
  • Potvrďte, že všechny certifikáty jsou platnými soubory ve formátu PEM, a to spuštěním příkazu openssl x509 -in <cert> -text -noout.
  • Ověřte výše uvedený výstup a ujistěte se, že se jedná o správný certifikát.
  • Zkontrolujte výstup následujících dvou příkazů: 
    openssl rsa -pubout -in server.key
    openssl x509 -pubkey -noout -in server.crt
    Výstup těchto dvou příkazů se musí shodovat.

Abychom usnadnili níže popsané kroky a příkazy, vytvoříme následující proměnné:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Pokud existuje více než jeden zprostředkující certifikát, vytvořte proměnné pro každý certifikát: ICA1, ICA2 atd

. Je nutné znát správná hesla úložiště klíčů NetWorker. Tato hesla se nastavují během konfigurace AUTHC a NWUI. Pokud si nejste jisti, přečtěte si článek:

Můžete také použít proměnné předávacího úložiště klíčů (možnost 1) nebo je uložit do souboru, aby heslo zůstalo skryté (možnost 2):
Příklad pro možnost 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Příklad možnosti 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Než začnete:

Vytvořte záložní kopii aktualizovaného úložiště klíčů a konfiguračních souborů.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

 

Postup výměny certifikátu služby Auth:

Skript authc Aby níže uvedené postupy fungovaly, není nutné službu zastavovat. Aby se však nové certifikáty načetly, je nutné jej restartovat.

  1. Import certifikátů

    • Import kořenového certifikátu (<CA>.crt) a všechny certifikáty zprostředkujících certifikačních autorit (<ICA>.crt) do authc.keystore.

      $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
$java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
$java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

    • Použijte soubor soukromého klíče serveru NetWorker (<server>.key) a nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) pro vytvoření PKCS12 store file pro emcauthctomcat a emcauthcsaml alias.

      openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass
      POZNÁMKA: Heslo souboru pkcs12 se musí shodovat s heslem úložiště klíčů. To je důvod, proč jej v tomto případě vytváříme pomocí authc storepass.

    • Importujte soubory z úložiště PKCS12 do authc.keystore.

      $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Importujte soubory z úložiště PKCS12 do authc.truststore.

      $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
$java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

    • Odstraňte výchozí certifikát NetWorker podepsaný držitelem a importujte nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) do authc.truststore.

      $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
$java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
$java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

    • Nakonec tento certifikát importujte do souboru úložiště klíčů Java cacerts v části emcauthctomcat alias:

      $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  2. Upravte admin_service_default_url=localhost v poli authc-cli-app.properties tak, aby odrážel název serveru NetWorker použitý v souboru certifikátu podepsaném certifikační autoritou:

    cat /opt/nsr/authc-server/conf/authc-cli-app.properties
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  3. Je vyžadováno restartování služeb NetWorker pro authc , chcete-li použít nový importovaný certifikát.
nsr_shutdown 
systemctl start networker

  1. Obnovit authc Důvěryhodnost serveru NetWorker:

    nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Následná ověření autorizace:

Výstup každého aliasu otisku certifikátu se shoduje s výstupy ostatních úložišť klíčů:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Výstup by se měl podobat tomuto:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Tento otisk pochází z certifikátu, který byl nainstalován. To znamená, že zavedení nového certifikátu v různých úložištích klíčů proběhlo správně.

openssl x509 -in $cert -fingerprint -sha256 -noout

Až se authc Služba je v provozu, můžete zkontrolovat, zda je certifikát, který poskytuje příchozímu připojení, stejný jako výše uvedený:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Výše uvedený příkaz byl spuštěn ze samotného serveru NetWorker, takže se připojí k místnímu hostiteli. Připojení z vnějšku <nw server name>:9090
 

Uživatelské rozhraní nástroje NetWorker (nwui) Postup výměny servisního certifikátu:

Předpokládáme, že nwui služby jsou spuštěny na serveru NetWorker.

  • Zastavte nwui služba

    systemctl stop nwui

  • Odstraňte výchozí certifikáty NetWorker podepsané držitelem a importujte nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) do úložiště klíčů cacerts. Kvůli konzistenci nahrazujeme všechny nwui-související certifikáty s certifikátem podepsaným certifikační autoritou.

    • Před provedením následujících kroků je nutné určit, zda se používá prostředí NetWorker Runtime Environment (NRE) nebo Java Runtime Environment (JRE).
    • Pokud se použije JRE, cesta k /cacerts je na adrese $java_bin/../lib/security/cacerts.
    • Pokud se použije prostředí NRE, cesta k umístění /cacerts je na adrese /opt/nre/java/latest/lib/security/cacerts. 
      $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

$java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
$java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

  • Použijte soubor soukromého klíče serveru NetWorker (<server>.key) a nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) pro vytvoření PKCS12 store file pro emcauthctomcat a emcauthcsaml alias pro nwui .

    openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass
    POZNÁMKA: Heslo souboru pkcs12 se musí shodovat s heslem úložiště klíčů. To je důvod, proč jej v tomto případě vytváříme pomocí nwui storepass.

  • Importujte soubory .p12, certifikát kořenové certifikační autority a certifikáty zprostředkující certifikační autority do nwui .

    $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass

$java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass

$java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

  • Přejmenujte binární soubor emcnwuimonitoring, emcnwuiauthca emcnwuiserv certifikáty, a vložte sem náš serverový certifikát se stejným názvem.

    mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer

mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
cp $cert /opt/nwui/conf/emcnwuiauthc.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer

mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
cp $cert /opt/nwui/conf/emcnwuiserv.cer
chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

  • Spusťte nwui služby

    systemctl start nwui

nwui Následná ověření:

Výstup každého aliasu otisku certifikátu se shoduje s výstupy ostatních úložišť klíčů:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Tento otisk pochází z certifikátu, který byl nainstalován. To znamená, že zavedení nového certifikátu v různých úložištích klíčů proběhlo správně.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Postup výměny certifikátu PostgreSQL

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key
POZNÁMKA: Vlastník <server>.crt <server>.key soubory musí být uživatelem, pod kterým je databáze PostgreSQL spuštěna.
  • Linux: nsrnwui

Additional Information

Další informace o importu certifikátu podepsaného certifikační autoritou naleznete v příručce Dell NetWorker Security Configuration Guide.

Postup výměny certifikátu NetWorker Management Console (NMC) podepsaného držitelem za certifikát podepsaný certifikační autoritou je podrobně popsán v následujícím článku znalostní databáze:

NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro službu NMC

Affected Products

NetWorker Family, NetWorker
Article Properties
Article Number: 000194900
Article Type: How To
Last Modified: 14 Nov 2025
Version:  24
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.