NetWorker: Como importar ou substituir certificados assinados por uma autoridade de certificação para "AUTHC" e "NWUI" (Windows)

Summary: Estas são as etapas gerais para substituir o certificado autoassinado padrão do NetWorker por um certificado assinado por uma autoridade de certificação (CA) para os serviços "AUTHC" e "NWUI". Este artigo da KB se aplica quando o servidor NetWorker e o servidor NetWorker Web User Interface (NWUI) são instalados em sistemas operacionais Windows. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Essas instruções descrevem como substituir o certificado autoassinado padrão do NetWorker por um certificado assinado pela CA para os serviços AUTHC e NWUI no servidor NetWorker.

Os nomes de arquivo não têm um requisito de nomenclatura, mas as extensões devem ser referenciadas para o tipo de arquivo. Os exemplos de comando mostrados são para Windows. Para obter instruções sobre Linux, consulte:
NetWorker: Como importar ou substituir certificados assinados pela Autoridade de Certificação para "Authc" e "NWUI" (Linux)
 

Nota: O processo descrito requer o utilitário de linha de comando OpenSSL. O OpenSSL não está incluído em sistemas operacionais Windows por padrão. Se o utilitário OpenSSL não estiver instalado, consulte o administrador do sistema para instalá-lo antes de prosseguir com este artigo da KB.

Arquivos de certificado envolvidos:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Keystores envolvidos:

Nome da loja Caminho padrão
authc.keystore C:\Arquivos de Programas\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Arquivos de Programas\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Arquivos de Programas\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Arquivos de Programas\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
Nota: Os caminhos mostrados são caminhos de instalação padrão; No entanto, o caminho de instalação é definido pelo usuário e pode ser instalado em outro local. Use os caminhos de instalação do servidor se caminhos não padrão foram usados. O caminho Java do NetWorker Runtime Environment (NRE) difere dependendo da versão do NRE instalada, pois isso também altera a versão do Java instalada.

Antes de começar:

Crie uma cópia dos seguintes arquivos e pastas em outro local:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Gere uma chave privada e um arquivo de solicitação de assinatura de certificado (CSR) para fornecer à sua CA.

  1. Abra um prompt de comando de administrador e execute os seguintes comandos:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Envie o arquivo CSR (<server>.csr) à CA para que ela possa gerar o arquivo de certificado assinado pela CA (<server>.crt). A CA deve fornecer o arquivo de certificado assinado pela CA (<server.crt>), o certificado raiz (<CA.crt>) e quaisquer certificados intermediários da CA (<ICA.crt>).

Etapas de pré-verificação:

Você deve saber as senhas corretas do keystore do NetWorker. Essas senhas são definidas durante a configuração do AUTHC e do NWUI. Se você não tiver certeza, consulte:

Para facilitar as etapas e os comandos descritos abaixo, criamos as seguintes variáveis a partir de um prompt de comando do administrador:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
Nota: Os valores dessas variáveis são específicos do ambiente. Você deve definir os valores de acordo com os caminhos do sistema e as credenciais usadas em seu sistema. Essas variáveis são limitadas à sessão do prompt de comando. Depois que a janela do prompt de comando for fechada, as variáveis serão canceladas. Se houver mais de um certificado intermediário, crie variáveis para cada certificado: ICA1, ICA2 e assim por diante

Verifique se você tem o seguinte:

  • server.crt, que contém um certificado PEM cuja primeira linha é -----BEGIN CERTIFICATE----- e a última linha é -----END CERTIFICATE-----
  • O arquivo de chave começa com -----BEGIN RSA PRIVATE KEY----- E termina com -----END RSA PRIVATE KEY-----
  • Confirme se todos os certificados são arquivos de formato PEM válidos executando openssl x509 -in <cert> -text -noout
  • Verifique o resultado acima para ter certeza de que é o certificado correto.
  • Verifique a saída dos dois comandos a seguir: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    O resultado desses dois comandos deve corresponder.

Etapas de substituição do certificado de serviço de autenticação:

A coluna authc O serviço não precisa ser interrompido para que o procedimento abaixo funcione. No entanto, ele deve ser reiniciado para que os novos certificados sejam carregados.

  1. Importando os certificados:
  • Importe o certificado raiz (<CA.crt>) e quaisquer certificados intermediários da CA (<ICA.crt>) para o armazenamento de chaves authc.:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Use o arquivo de chave privada do servidor do NetWorker (<server>.key) e o novo arquivo de certificado assinado pela CA (<server.crt>) para criar um arquivo de armazenamento PKCS12 para o emcauthctomcat e emcauthcsaml cognome.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importe os arquivos de armazenamento do PKCS12 para o authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importe os arquivos de armazenamento PKCS12 para o authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Exclua o certificado autoassinado padrão do NetWorker e importe o novo certificado assinado pela CA 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Por fim, importe esse certificado para o arquivo de keystore Java cacerts em emcauthctomcat cognome:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Edite o valor admin_service_default_url=localhost no arquivo C:\Arquivos de Programas\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties para refletir o nome do servidor do NetWorker usado no arquivo de certificado assinado pela CA:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Uma reinicialização dos serviços do NetWorker é necessária para que o AUTHC use o novo certificado importado.
net stop nsrd
net start nsrd
  1. Restabelecer a confiança AUTHC no servidor NetWorker:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Pós-verificações do AUTHC:

  1. Confirme a impressão digital do certificado importado:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Exemplo: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Criar arquivos de saída para os cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Analise o arquivo de saída e confirme se você vê o emcauthctomcat e que a impressão digital do certificado corresponde à impressão digital da etapa 1:
A impressão digital do certificado corresponde à impressão digital do certificado importado
  1. Verifique authc.truststore e authc.keystore e confirme se o emcauthctomcat emcauthcsaml As impressões digitais do certificado correspondem à impressão digital da Etapa 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Quando o serviço AUTHC estiver funcionando, você poderá verificar se o certificado que ele fornece a uma conexão de entrada é o mesmo que o acima:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Exemplo: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Interface do usuário do NetWorker (nwui) Etapas de substituição do certificado de serviço:

Partimos do princípio de que o nwui serviços estão em execução no servidor do NetWorker.
  1. Interrompa o serviço NWUI:
net stop nwui
  1. Exclua os certificados autoassinados padrão do NetWorker e importe o novo arquivo de certificado assinado pela CA (<server>.crt) para o repositório de chaves cacerts. Para garantir a consistência, substituímos todos os certificados relacionados ao nwui pelo certificado assinado pela CA.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Use o arquivo de chave privada do servidor do NetWorker (<server>.key) e o novo arquivo de certificado assinado pela CA (<server.crt>) para criar um arquivo de armazenamento PKCS12 para o emcauthctomcat e emcauthcsaml Alias para o repositório de chaves NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
Nota: A senha do arquivo PKCS12 precisa corresponder à senha do repositório de chaves. É por isso que, neste caso, criamos a senha com nwui storepass.
  1. Importe os arquivos .p12, o certificado raiz da CA e os certificados intermediários da CA para o keystore nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Renomeie o binário emcnwuimonitoring e coloque nosso certificado de servidor neste caminho com o mesmo nome.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Inicie o serviço NWUI:
net start nwui

nwui Pós-verificações:

  1. Confirme a impressão digital do certificado importado:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Exemplo: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Criar arquivos de saída para os cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Analise o arquivo de saída e confirme se você vê o emcauthctomcat e que a impressão digital do certificado corresponde à impressão digital da etapa 1:
A impressão digital do certificado corresponde à impressão digital do certificado importado
  1. Verifique o nwui.keystore e confirme se o emcauthctomcat As impressões digitais do certificado correspondem à impressão digital da Etapa 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Quando o serviço NWUI estiver funcionando, você poderá verificar se o certificado que ele fornece a uma conexão de entrada é o mesmo que o acima:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Exemplo: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Etapas de substituição de certificado do PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Verifique a propriedade desses arquivos e certifique-se de que eles pertençam à conta do sistema LOCAL SERVICE.

server.crt é de propriedade do LOCAL SERVICE 

server.key é propriedade do LOCAL SERVICE 
 Se a propriedade do arquivo estiver definida para outra conta de usuário ou grupo, atualize cada arquivo para que eles pertençam ao "LOCAL SERVICE"

Additional Information

Para obter mais informações sobre como importar um certificado assinado pela CA, consulte o Guia de configuração de segurança do Dell NetWorker.

O processo para substituir o certificado autoassinado do NetWorker Management Console (NMC) por um certificado assinado pela CA é detalhado no seguinte artigo da KB:

NetWorker: Como importar ou substituir certificados assinados pela autoridade de certificação do NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.