NetWorker: Importieren oder Ersetzen von von Zertifizierungsstellen signierten Zertifikaten für "AUTHC" und "NWUI" (Windows)

Summary: Dies sind die allgemeinen Schritte zum Ersetzen des selbstsignierten NetWorker-Standardzertifikats durch ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat für die Services "AUTHC" und "NWUI". Dieser Wissensdatenbank-Artikel gilt, wenn der NetWorker-Server und der NetWorker-Webnutzerschnittstellenserver (NWUI) auf Windows-Betriebssystemen installiert sind. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In diesen Anweisungen wird beschrieben, wie Sie das selbstsignierte NetWorker-Standardzertifikat durch ein CA-signiertes Zertifikat für die AUTHC- und NWUI-Services auf dem NetWorker-Server ersetzen.

Die Dateinamen müssen nicht benannt werden, aber die Erweiterungen sollten für den Dateityp referenziert werden. Die gezeigten Befehlsbeispiele gelten für Windows. Anweisungen für Linux finden Sie unter:
NetWorker: Importieren oder Ersetzen von durch die Zertifizierungsstelle signierten Zertifikaten für „Authc“ und „NWUI“ (Linux)
 

HINWEIS: Für den beschriebenen Prozess ist das OpenSSL-Befehlszeilendienstprogramm erforderlich. OpenSSL ist auf Windows-Betriebssystemen standardmäßig nicht enthalten. Wenn das OpenSSL-Dienstprogramm nicht installiert ist, wenden Sie sich an Ihren Systemadministrator für die Installation von OpenSSL, bevor Sie mit diesem Wissensdatenbank-Artikel fortfahren.

Beteiligte Zertifikatdateien:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Beteiligte Keystores:

Name des Stores Standardpfad
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Programme\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
HINWEIS: Die angezeigten Pfade sind Standardinstallationspfade. Der Installationspfad ist jedoch nutzerdefiniert und kann an einem anderen Speicherort installiert werden. Verwenden Sie die Installationspfade Ihres Servers, wenn nicht standardmäßige Pfade verwendet wurden. Der Java-Pfad der NetWorker Runtime Environment (NRE) unterscheidet sich je nach installierter Version von NRE, da dadurch auch die installierte Java-Version geändert wird.

Bevor Sie beginnen:

Erstellen Sie eine Kopie der folgenden Dateien und Ordner an einem anderen Speicherort:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Erzeugen Sie einen privaten Schlüssel und eine CSR-Datei (Certificate Signing Request), die Sie Ihrer Zertifizierungsstelle zur Verfügung stellen.

  1. Öffnen Sie eine Administrator-Eingabeaufforderung und führen Sie die folgenden Befehle aus:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Senden Sie die CSR-Datei (<server>.csr) an die CA, um die von der CA signierte Zertifikatdatei (<server.crt>) zu erzeugen. Die Zertifizierungsstelle sollte die von der Zertifizierungsstelle signierte Zertifikatdatei (<server.crt>), das Stammzertifikat (<CA.crt>) und alle Zwischenzertifikate der Zertifizierungsstelle (<ICA.crt>) bereitstellen.

Schritte zur Vorüberprüfung:

Sie müssen die korrekten NetWorker-Keystore-Kennwörter kennen. Diese Kennwörter werden während der AUTHC- und NWUI-Konfiguration festgelegt. Wenn Sie sich nicht sicher sind, finden Sie weitere Informationen unter:

Um die unten beschriebenen Schritte und Befehle zu vereinfachen, erstellen wir die folgenden Variablen über eine Administrator-Eingabeaufforderung:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
HINWEIS: Die Werte für diese Variablen sind umgebungsspezifisch. Sie müssen die Werte in Übereinstimmung mit den Systempfaden und Anmeldeinformationen festlegen, die auf Ihrem System verwendet werden. Diese Variablen sind auf die Befehlsaufforderungssitzung beschränkt. Sobald das Eingabeaufforderungsfenster geschlossen wird, werden die Variablen nicht festgelegt. Wenn mehr als ein Zwischenzertifikat vorhanden ist, erstellen Sie Variablen für jedes Zertifikat: ICA1, ICA2 usw.

Stellen Sie sicher, dass Sie über Folgendes verfügen:

  • server.crt, die ein PEM-Zertifikat enthält, dessen erste Zeile -----BEGIN CERTIFICATE----- und die letzte Zeile -----END CERTIFICATE lautet-----
  • Die Schlüsseldatei beginnt mit -----BEGIN RSA PRIVATE KEY----- und endet mit -----END RSA PRIVATE KEY-----
  • Bestätigen Sie, dass alle Zertifikate gültige PEM-Formatdateien sind, indem Sie Folgendes ausführen: openssl x509 -in <cert> -text -noout
  • Überprüfen Sie die obige Ausgabe, um sicherzustellen, dass es sich um das richtige Zertifikat handelt.
  • Überprüfen Sie die Ausgabe der folgenden beiden Befehle: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Die Ausgabe dieser beiden Befehle muss übereinstimmen.

Schritte zum Austausch des Authentifizierungsservicezertifikats:

Die Spalte authc Der Service muss nicht beendet werden, damit das folgende Verfahren funktioniert. Es muss jedoch neu gestartet werden, damit die neuen Zertifikate geladen werden können.

  1. Importieren der Zertifikate:
  • Importieren Sie das Stammzertifikat (<CA.crt>) und alle CA-Zwischenzertifikate (<ICA.crt>) in den authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Verwenden Sie die private Schlüsseldatei (<server>.key) des NetWorker-Servers und die neue CA-signierte Zertifikatdatei (<server.crt>), um eine PKCS12-Speicherdatei für das zu erstellen emcauthctomcat und emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importieren Sie die PKCS12-Speicherdateien in authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importieren Sie die PKCS12-Speicherdateien in authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Löschen Sie das standardmäßige selbstsignierte NetWorker-Zertifikat und importieren Sie das neue, von einer Zertifizierungsstelle signierte Zertifikat 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Importieren Sie abschließend dieses Zertifikat in die Java cacerts-Keystore-Datei unter emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Bearbeiten Sie den Wert admin_service_default_url=localhost in der Datei C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties , um den NetWorker-Servernamen widerzuspiegeln, der in der CA-signierten Zertifikatdatei verwendet wird:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Ein Neustart der NetWorker-Services ist erforderlich, damit AUTHC das neue importierte Zertifikat verwenden kann.
net stop nsrd
net start nsrd
  1. Stellen Sie die AUTHC-Vertrauensstellung auf dem NetWorker-Server wieder her:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHC-Nachprüfungen:

  1. Bestätigen Sie den Fingerabdruck des importierten Zertifikats:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Beispiel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Erstellen von Ausgabedateien für die Cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Überprüfen Sie die Ausgabedatei und vergewissern Sie sich, dass das Kontrollkästchen emcauthctomcat und dass der Fingerabdruck des Zertifikats mit dem Fingerabdruck aus Schritt 1 übereinstimmt:
Der Fingerabdruck des Zertifikats stimmt mit dem Fingerabdruck des importierten Zertifikats überein.
  1. Überprüfen Sie authc.truststore und authc.keystore und vergewissern Sie sich, dass die emcauthctomcat und emcauthcsaml Fingerabdrücke des Zertifikats stimmen mit dem Fingerabdruck aus Schritt 1 überein:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Wenn der AUTHC-Service betriebsbereit ist, können Sie überprüfen, ob das Zertifikat, das er für eine eingehende Verbindung bereitstellt, mit dem oben genannten übereinstimmt:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Beispiel: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorker-Benutzeroberfläche (nwui) Schritte zum Austausch des Servicezertifikats:

Wir gehen davon aus, dass die nwui Services werden auf dem NetWorker-Server ausgeführt.
  1. Beenden Sie den NWUI-Service:
net stop nwui
  1. Löschen Sie die selbstsignierten NetWorker-Standardzertifikate und importieren Sie die neue CA-signierte Zertifikatdatei (<server>.crt) in den Cacerts-Keystore. Aus Gründen der Konsistenz ersetzen wir alle nwui-bezogenen Zertifikate durch das von der Zertifizierungsstelle signierte Zertifikat.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Verwenden Sie die private Schlüsseldatei (<server>.key) des NetWorker-Servers und die neue CA-signierte Zertifikatdatei (<server.crt>), um eine PKCS12-Speicherdatei für das zu erstellen emcauthctomcat und emcauthcsaml Alias für den NWUI-Keystore.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
HINWEIS: Das Kennwort für die pkcs12-Datei muss mit dem Kennwort des Keystore übereinstimmen. Aus diesem Grund erstellen wir es in diesem Fall mit dem NWUI-Storepass.
  1. Importieren Sie die .p12-Dateien, das CA-Stammzertifikat und die CA-Zwischenzertifikate in den NWUI-Keystore.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Benennen Sie die emcnwuimonitoring -Zertifikat, und legen Sie unser Serverzertifikat hier in diesem Pfad mit dem gleichen Namen ab.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Starten Sie den NWUI-Service:
net start nwui

nwui Nachträgliche Überprüfungen:

  1. Bestätigen Sie den Fingerabdruck des importierten Zertifikats:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Beispiel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Erstellen von Ausgabedateien für die Cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Überprüfen Sie die Ausgabedatei und vergewissern Sie sich, dass das Kontrollkästchen emcauthctomcat und dass der Fingerabdruck des Zertifikats mit dem Fingerabdruck aus Schritt 1 übereinstimmt:
Der Fingerabdruck des Zertifikats stimmt mit dem Fingerabdruck des importierten Zertifikats überein.
  1. Überprüfen Sie den nwui.keystore und bestätigen Sie, dass die emcauthctomcat Fingerabdrücke des Zertifikats stimmen mit dem Fingerabdruck aus Schritt 1 überein:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Wenn der NWUI-Service betriebsbereit ist, können Sie überprüfen, ob das Zertifikat, das er für eine eingehende Verbindung bereitstellt, mit dem oben genannten übereinstimmt:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Beispiel: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Schritte zum Austausch des PostgreSQL-Zertifikats

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Überprüfen Sie die Eigentumsrechte dieser Dateien und stellen Sie sicher, dass sie dem Systemkonto LOCAL SERVICE gehören.

server.crt ist Eigentum von LOCAL SERVICE 

server.key ist Eigentum von LOCAL SERVICE 
 Wenn der Dateibesitz auf ein anderes Nutzerkonto oder eine andere Gruppe festgelegt ist, aktualisieren Sie jede Datei so, dass sie im Besitz von "LOKALER DIENST" ist

Additional Information

Weitere Informationen zum Importieren eines CA-signierten Zertifikats finden Sie im Dell NetWorker Sicherheitskonfigurationsleitfaden.

Der Prozess zum Ersetzen des selbstsignierten NMC-Zertifikats (NetWorker Management Console) durch ein von einer Zertifizierungsstelle signiertes Zertifikat ist im folgenden Wissensdatenbank-Artikel beschrieben:

NetWorker: Importieren oder Ersetzen von durch die Zertifizierungsstelle signierten Zertifikaten für NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.