NetWorker: Certificaten importeren of vervangen die door de certificeringsinstantie zijn ondertekend voor "AUTHC" en "NWUI" (Windows)

Summary: Dit zijn de algemene stappen voor het vervangen van het standaard zelfondertekende NetWorker-certificaat door een door de certificeringsinstantie (CA) ondertekend certificaat voor de services "AUTHC" en "NWUI". Dit KB-artikel is van toepassing wanneer de NetWorker-server en de NetWorker Web User Interface-server (NWUI) zijn geïnstalleerd op Windows-besturingssystemen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In deze instructies wordt beschreven hoe u het standaard zelfondertekende NetWorker-certificaat vervangt door een CA-ondertekend certificaat voor de AUTHC- en NWUI-services op de NetWorker-server.

De bestandsnamen hebben geen naamgevingsvereiste, maar de extensies moeten worden vermeld voor het type bestand. De getoonde opdrachtvoorbeelden zijn voor Windows. Zie voor instructies over Linux:
NetWorker: Certificaten importeren of vervangen die door de certificeringsinstantie zijn ondertekend voor "Authc" en "NWUI" (Linux)
 

OPMERKING: Voor het beschreven proces is het opdrachtregelhulpprogramma OpenSSL vereist. OpenSSL is standaard niet inbegrepen op Windows-besturingssystemen. Als het hulpprogramma OpenSSL niet is geïnstalleerd, raadpleegt u uw systeembeheerder voor het installeren van OpenSSL voordat u verdergaat met deze KB.

Betrokken certificaatbestanden:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Betrokken Keystores:

Winkelnaam Standaardpad
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
CACERTS C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
OPMERKING: De weergegeven paden zijn standaard installatiepaden; Het installatiepad is echter door de gebruiker gedefinieerd en kan op een andere locatie worden geïnstalleerd. Gebruik de installatiepaden van uw server als er niet-standaardpaden zijn gebruikt. Het Java-pad van NetWorker Runtime Environment (NRE) verschilt afhankelijk van de versie van NRE die is geïnstalleerd, omdat dit ook de versie van de geïnstalleerde Java wijzigt.

Voordat u begint:

Maak een kopie van de volgende bestanden en mappen op een andere locatie:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Genereer een CM-bestand (Certificate Signing Request) en een bestand voor een persoonlijke sleutel en een CSR-bestand (Certificate Signing Request) dat u aan uw CA kunt verstrekken.

  1. Open een opdrachtprompt voor een beheerder en voer de volgende opdrachten uit:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Verzend het CSR-bestand (<server>.csr) naar de CA om het CA-ondertekende certificaatbestand (<server.crt>) te genereren. De CA moet het CA-ondertekende certificaatbestand (<server.crt>), het basiscertificaat (<CA.crt>) en eventuele tussenliggende CA-certificaten (<ICA.crt>) leveren.

Stappen voorafgaand aan de verificatie:

U moet de juiste NetWorker keystore-wachtwoorden kennen. Deze wachtwoorden worden ingesteld tijdens de AUTHC- en NWUI-configuratie. Als u het niet zeker weet, raadpleegt u:

Om de stappen en opdrachten die hieronder worden beschreven te vergemakkelijken, maken we de volgende variabelen op basis van een beheerdersopdrachtprompt:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
OPMERKING: De waarden voor deze variabelen zijn omgevingsspecifiek. U moet de waarden instellen in overeenstemming met de systeempaden en referenties die op uw systeem worden gebruikt. Deze variabelen zijn beperkt tot de opdrachtpromptsessie. Zodra het opdrachtpromptvenster is gesloten, worden de variabelen uitgeschakeld. Als er meer dan één tussenliggend certificaat is, maakt u variabelen voor elk certificaat: ICA1, ICA2, enzovoort

Zorg dat u over het volgende beschikt:

  • server.crt-bestand, dat een PEM-certificaat bevat waarvan de eerste regel -----BEGIN CERTIFICATE----- is en de laatste regel -----END CERTIFICATE-----
  • Het sleutelbestand begint met -----BEGIN RSA PRIVATE KEY----- en eindigt met -----END RSA PRIVATE KEY-----
  • Controleer of alle certificaten geldige PEM-indelingsbestanden zijn door het volgende uit te voeren: openssl x509 -in <cert> -text -noout
  • Controleer de bovenstaande uitvoer om er zeker van te zijn dat het om het juiste certificaat gaat.
  • Controleer de uitvoer van de volgende twee opdrachten: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    De uitvoer van deze twee opdrachten moet overeenkomen.

Stappen voor vervanging van authenticatieservicecertificaat:

De authc De service hoeft niet te worden gestopt om de onderstaande procedure te laten werken. Het moet echter opnieuw worden gestart om de nieuwe certificaten te laden.

  1. Importeren van de certificaten:
  • Importeer het basiscertificaat (<CA.crt>) en eventuele tussenliggende CA-certificaten (<ICA.crt>) in de authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Gebruik het bestand met de persoonlijke sleutel van NetWorker Server (<server>.key) en het nieuwe CA-ondertekende certificaatbestand (<server.crt>) om een PKCS12-opslagbestand te maken voor de emcauthctomcat als emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importeer de PKCS12-opslagbestanden naar authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importeer de PKCS12-opslagbestanden naar de authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Verwijder het standaard zelfondertekende NetWorker-certificaat en importeer het nieuwe CA-ondertekende 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Importeer ten slotte dit certificaat in het Java cacerts keystore-bestand onder emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Bewerk de waarde admin_service_default_url=localhost in het bestand C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties om de NetWorker Server-naam weer te geven die wordt gebruikt in het CA-ondertekende certificaatbestand:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Een herstart van de NetWorker-services is nodig om AUTHC het nieuwe geïmporteerde certificaat te laten gebruiken.
net stop nsrd
net start nsrd
  1. Herstel het AUTHC-vertrouwen op de NetWorker-server:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHC na verificaties:

  1. Bevestig de vingerafdruk van het geïmporteerde certificaat:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Voorbeeld: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Uitvoerbestanden voor de cacerts maken
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Controleer het uitvoerbestand en controleer of u het emcauthctomcat en dat de vingerafdruk van het certificaat overeenkomt met de vingerafdruk uit stap 1:
Certificaatvingerafdruk komt overeen met vingerafdruk van geïmporteerd certificaat
  1. Controleer de authc.truststore en authc.keystore en bevestig dat de emcauthctomcat als emcauthcsaml Certificaatvingerafdrukken komen overeen met de vingerafdruk uit stap 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Wanneer de AUTHC-service actief is, kunt u controleren of het certificaat dat deze verstrekt aan een inkomende verbinding hetzelfde is als het bovenstaande:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Voorbeeld: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorker-gebruikersinterface (nwui) Stappen voor vervanging van servicecertificaten:

We gaan ervan uit dat de nwui Services worden uitgevoerd op de NetWorker-server.
  1. Stop de NWUI-service:
net stop nwui
  1. Verwijder de standaard zelfondertekende NetWorker-certificaten en importeer het nieuwe CA-ondertekende certificaatbestand (<server.crt>) in de cacerts-keystore. Voor consistentie vervangen we alle nwui-gerelateerde certificaten door het CA-ondertekende certificaat.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Gebruik het bestand met de persoonlijke sleutel van NetWorker Server (<server>.key) en het nieuwe CA-ondertekende certificaatbestand (<server.crt>) om een PKCS12-opslagbestand te maken voor de emcauthctomcat als emcauthcsaml Alias voor de NWUI Keystore.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
OPMERKING: Het wachtwoord van het pkcs12-bestand moet overeenkomen met het wachtwoord van de keystore. Daarom maken we het in dit geval met de nwui storepass.
  1. Importeer de .p12-bestanden, het basis-CA-certificaat en de tussenliggende CA-certificaten in de nwui keystore.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Naam van de emcnwuimonitoring certificaat, en plaats ons servercertificaat hier in dit pad met dezelfde naam.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Start de NWUI-service:
net start nwui

nwui Verificaties achteraf:

  1. Bevestig de vingerafdruk van het geïmporteerde certificaat:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Voorbeeld: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Uitvoerbestanden voor de cacerts maken
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Controleer het uitvoerbestand en controleer of u het emcauthctomcat en dat de vingerafdruk van het certificaat overeenkomt met de vingerafdruk uit stap 1:
Certificaatvingerafdruk komt overeen met vingerafdruk van geïmporteerd certificaat
  1. Controleer de nwui.keystore en bevestig dat het emcauthctomcat Certificaatvingerafdrukken komen overeen met de vingerafdruk uit stap 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Wanneer de NWUI-service actief is, kunt u controleren of het certificaat dat het verstrekt aan een inkomende verbinding hetzelfde is als het bovenstaande:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Voorbeeld: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Stappen voor het vervangen van PostgreSQL-certificaten

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Controleer of deze bestanden eigenaar zijn van het systeemaccount LOKALE SERVICE.

server.crt is eigendom van LOCAL SERVICE 

server.key is eigendom van LOCAL SERVICE 
 Als het bestandseigendom is ingesteld op een andere gebruikersaccount of groep, werkt u elk bestand bij zodat het eigendom is van "LOKALE SERVICE"

Additional Information

Raadpleeg de Dell NetWorker Security Configuration Guide voor meer informatie over het importeren van een door een CA ondertekend certificaat.

Het proces voor het vervangen van het zelfondertekende certificaat van de NetWorker Management Console (NMC) door een CA-ondertekend certificaat wordt beschreven in de volgende KB:

NetWorker: Ondertekende certificaten van certificeringsinstantie importeren of vervangen voor NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.