NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro "AUTHC" a "NWUI" (Windows)

Summary: Toto jsou obecné kroky pro nahrazení výchozího certifikátu NetWorker podepsaného držitelem certifikátem podepsaným certifikační autoritou (CA) pro služby "AUTHC" a "NWUI". Tento článek znalostní databáze platí v případě, že jsou v operačních systémech Windows nainstalovány server NetWorker a server webového uživatelského rozhraní NetWorker (NWUI). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tyto pokyny popisují, jak nahradit výchozí certifikát NetWorker podepsaný držitelem certifikátem podepsaným certifikační autoritou pro služby AUTHC a NWUI na serveru NetWorker.

Názvy souborů nemají požadavek na pojmenování, ale pro typ souboru by měly být uvedeny přípony. Uvedené příklady příkazů jsou určeny pro systém Windows. Pokyny pro Linux naleznete v tématu:
NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro „Authc“ a „NWUI“ (Linux)
 

POZNÁMKA: Popsaný proces vyžaduje nástroj příkazového řádku OpenSSL. OpenSSL není ve výchozím nastavení součástí operačních systémů Windows. Pokud nástroj OpenSSL není nainstalován, poraďte se se správcem systému o instalaci OpenSSL, než budete pokračovat v tomto článku znalostní databáze.

Dotčené soubory certifikátů:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Zapojená úložiště klíčů:

Název obchodu Výchozí cesta
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
POZNÁMKA: Zobrazené cesty jsou výchozí instalační cesty; Instalační cesta je však uživatelsky definovaná a lze ji nainstalovat do jiného umístění. Pokud jste použili jiné než výchozí cesty, použijte instalační cesty ze serveru. Cesta Java prostředí NetWorker Runtime Environment (NRE) se liší v závislosti na nainstalované verzi NRE, protože se tím také mění nainstalovaná verze jazyka Java.

Než začnete:

Vytvořte kopii následujících souborů a složek v jiném umístění:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Vygenerujte soukromý klíč a soubor požadavku na podpis certifikátu (CSR), který poskytnete své certifikační autoritě.

  1. Otevřete příkazový řádek správce a spusťte následující příkazy:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Odešlete certifikační autoritě soubor CSR (<server>.csr) a vygenerujte soubor certifikátu podepsaný certifikační autoritou (<server.crt>). Certifikační autorita by měla poskytnout soubor certifikátu podepsaný certifikační autoritou (<server.crt>), kořenový certifikát (<CA.crt>) a všechny certifikáty zprostředkující certifikační autority (<ICA.crt>).

Kroky před ověřením:

Je nutné znát správná hesla úložiště klíčů NetWorker. Tato hesla se nastavují během konfigurace AUTHC a NWUI. Pokud si nejste jisti, přečtěte si článek:

Pro usnadnění níže popsaných kroků a příkazů vytvoříme z příkazového řádku správce následující proměnné:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
POZNÁMKA: Hodnoty těchto proměnných jsou specifické pro prostředí. Hodnoty je nutné nastavit v souladu se systémovými cestami a přihlašovacími údaji použitými v systému. Tyto proměnné jsou omezeny na relaci příkazového řádku. Po zavření okna příkazového řádku se proměnných zruší. Pokud existuje více než jeden zprostředkující certifikát, vytvořte proměnné pro každý certifikát: ICA1, ICA2 a tak dále

Ujistěte se, že máte následující:

  • server.crt, který obsahuje certifikát PEM, jehož první řádek je -----BEGIN CERTIFICATE----- a poslední řádek je -----END CERTIFICATE-----
  • Soubor klíče začíná -----BEGIN RSA PRIVATE KEY----- a končí -----END RSA PRIVATE KEY-----
  • Potvrďte, že všechny certifikáty jsou platnými soubory ve formátu PEM, a to spuštěním příkazu openssl x509 -in <cert> -text -noout
  • Ověřte výše uvedený výstup, abyste se ujistili, že se jedná o správný certifikát.
  • Zkontrolujte výstup následujících dvou příkazů: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Výstup těchto dvou příkazů se musí shodovat.

Postup výměny certifikátu služby Auth:

Skript authc Aby níže uvedené postupy fungovaly, není nutné službu zastavovat. Aby se však nové certifikáty načetly, je nutné jej restartovat.

  1. Import certifikátů:
  • Importujte kořenový certifikát (<CA.crt>) a všechny certifikáty zprostředkující certifikační autority (<ICA.crt>) do authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Pomocí souboru privátního klíče serveru NetWorker (<server>.key) a nového souboru certifikátu podepsaného certifikační autoritou (<server.crt>) vytvořte soubor úložiště PKCS12 pro emcauthctomcat a emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importujte soubory z úložiště PKCS12 do úložiště authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importujte soubory z úložiště PKCS12 do úložiště authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Odstraňte výchozí certifikát NetWorker podepsaný držitelem a importujte nový certifikát podepsaný certifikační autoritou 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Nakonec tento certifikát importujte do souboru úložiště klíčů Java cacerts v části emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Upravte hodnotu admin_service_default_url=localhost v souboru C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties tak, aby odrážela název serveru NetWorker použitý v souboru certifikátu podepsaném certifikační autoritou:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Aby nástroj AUTHC mohl použít nový importovaný certifikát, je nutné restartovat služby NetWorker.
net stop nsrd
net start nsrd
  1. Obnovení důvěryhodnosti nástroje AUTHC na serveru NetWorker:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Následná ověření AUTHC:

  1. Potvrďte otisk importovaného certifikátu:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Příklad: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Vytvoření výstupních souborů pro cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Zkontrolujte výstupní soubor a ujistěte se, že se zobrazí emcauthctomcat a že otisk certifikátu odpovídá otisku prstu z kroku 1:
Otisk certifikátu se shoduje s otiskem prstu z importovaného certifikátu.
  1. Zkontrolujte soubory authc.truststore a authc.keystore a ujistěte se, že emcauthctomcat emcauthcsaml Otisky certifikátů se shodují s otisky prstů z kroku 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Když je služba AUTHC v provozu, můžete zkontrolovat, že certifikát, který poskytuje příchozímu připojení, je stejný jako výše uvedený:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Příklad: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Uživatelské rozhraní nástroje NetWorker (nwui) Postup výměny servisního certifikátu:

Předpokládáme, že nwui služby jsou spuštěny na serveru NetWorker.
  1. Zastavte službu NWUI:
net stop nwui
  1. Odstraňte výchozí certifikáty NetWorker podepsané držitelem a importujte nový soubor certifikátu podepsaný certifikační autoritou (<server>.crt) do úložiště klíčů cacerts. Kvůli konzistenci nahrazujeme všechny certifikáty související s rozhraním NWUI certifikátem podepsaným certifikační autoritou.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Pomocí souboru privátního klíče serveru NetWorker (<server>.key) a nového souboru certifikátu podepsaného certifikační autoritou (<server.crt>) vytvořte soubor úložiště PKCS12 pro emcauthctomcat a emcauthcsaml alias pro úložiště klíčů NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
POZNÁMKA: Heslo souboru pkcs12 se musí shodovat s heslem úložiště klíčů. Proto jej v tomto případě vytváříme pomocí příkazu „nwui storepass“.
  1. Importujte soubory .p12, certifikát kořenové certifikační autority a certifikáty zprostředkující certifikační autority do úložiště klíčů nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Přejmenujte binární soubor emcnwuimonitoring certifikátu a vložte sem certifikát serveru se stejným názvem.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Spusťte službu NWUI:
net start nwui

nwui Následná ověření:

  1. Potvrďte otisk importovaného certifikátu:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Příklad: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Vytvoření výstupních souborů pro cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Zkontrolujte výstupní soubor a ujistěte se, že se zobrazí emcauthctomcat a že otisk certifikátu odpovídá otisku prstu z kroku 1:
Otisk certifikátu se shoduje s otiskem prstu z importovaného certifikátu.
  1. Zkontrolujte nwui.keystore a ujistěte se, že emcauthctomcat Otisky certifikátů se shodují s otisky prstů z kroku 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Když je služba NWUI v provozu, můžete zkontrolovat, zda je certifikát, který poskytuje příchozímu připojení, stejný jako výše uvedený:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Příklad: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Postup výměny certifikátu PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Zkontrolujte vlastnictví těchto souborů a ujistěte se, že jsou vlastněny systémovým účtem LOCAL SERVICE.

server.crt je vlastněn MÍSTNÍ SLUŽBOU. 

server.key je ve vlastnictví MÍSTNÍ SLUŽBY. 
 Pokud je vlastnictví souboru nastaveno na jiný uživatelský účet nebo skupinu, aktualizujte jednotlivé soubory tak, aby je vlastnila "LOCAL SERVICE"

Additional Information

Další informace o importu certifikátu podepsaného certifikační autoritou naleznete v příručce Dell NetWorker Security Configuration Guide.

Postup výměny certifikátu NetWorker Management Console (NMC) podepsaného držitelem za certifikát podepsaný certifikační autoritou je podrobně popsán v následujícím článku znalostní databáze:

NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro službu NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.