NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para "AUTHC" y "NWUI" (Windows)

Summary: Estos son los pasos generales para reemplazar el certificado autofirmado predeterminado de NetWorker por un certificado firmado por la autoridad de certificación (CA) para los servicios "AUTHC" y "NWUI". Este artículo de la base de conocimientos se aplica cuando el servidor de NetWorker y el servidor de la interfaz del usuario web de NetWorker (NWUI) se instalan en sistemas operativos Windows. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Estas instrucciones describen cómo reemplazar el certificado autofirmado predeterminado de NetWorker por un certificado firmado por una CA para los servicios AUTHC y NWUI en el servidor de NetWorker.

Los nombres de archivo no tienen un requisito de nomenclatura, pero se debe hacer referencia a las extensiones para el tipo de archivo. Los ejemplos de comandos que se muestran son para Windows. Para obtener instrucciones sobre Linux, consulte:
NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para "Authc" y "NWUI" (Linux)
 

NOTA: El proceso descrito requiere la utilidad de línea de comandos OpenSSL. OpenSSL no se incluye en los sistemas operativos Windows de manera predeterminada. Si la utilidad OpenSSL no está instalada, comuníquese con el administrador del sistema para instalar OpenSSL antes de continuar con este artículo de la base de conocimientos.

Archivos de certificado involucrados:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Almacenes de claves involucrados:

Nombre de la tienda Ruta predeterminada
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Program Files\NRE\java\jre#.#.#_####\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
NOTA: Las rutas que se muestran son rutas de instalación predeterminadas; Sin embargo, la ruta de instalación está definida por el usuario y se puede instalar en otra ubicación. Utilice las rutas de instalación del servidor si se utilizaron rutas no predeterminadas. La ruta de Java del entorno de tiempo de ejecución de NetWorker (NRE) difiere según la versión de NRE instalada, ya que esto también altera la versión de Java instalada.

Antes de empezar:

Cree una copia de los siguientes archivos y carpetas en otra ubicación:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Genere un archivo de clave privada y de solicitud de firma de certificado (CSR) para proporcionar a la CA.

  1. Abra un símbolo del sistema de administrador y ejecute los siguientes comandos:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Envíe el archivo CSR (<server>.csr) a la CA para generar el archivo de certificado firmado por la CA (<server>.crt). La CA debe proporcionar el archivo de certificado firmado por la CA (<server.crt>), el certificado raíz (<CA.crt>) y cualquier certificado de CA intermedio (<ICA.crt>).

Pasos previos a la verificación:

Debe conocer las contraseñas correctas del almacén de claves de NetWorker. Estas contraseñas se establecen durante la configuración de AUTHC y NWUI. Si no está seguro, consulte:

Para facilitar los pasos y comandos que se describen a continuación, creamos las siguientes variables desde un símbolo del sistema de administrador:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
NOTA: Los valores de estas variables son específicos del entorno. Debe configurar los valores de acuerdo con las rutas del sistema y las credenciales utilizadas en el sistema. Estas variables se limitan a la sesión del símbolo del sistema. Una vez que se cierra la ventana del símbolo del sistema, las variables se anulan. Si hay más de un certificado intermedio, cree variables para cada certificado: ICA1, ICA2, etc.

Asegúrese de contar con lo siguiente:

  • server.crt, que contiene un certificado PEM cuya primera línea es -----BEGIN CERTIFICATE----- y la última línea es -----END CERTIFICATE-----
  • El archivo de clave comienza con -----BEGIN RSA PRIVATE KEY----- y termina con -----END RSA PRIVATE KEY-----
  • Ejecute lo siguiente para confirmar que todos los certificados sean archivos de formato PEM válidos: openssl x509 -in <cert> -text -noout
  • Verifique el resultado anterior para asegurarse de que sea el certificado correcto.
  • Compruebe el resultado de los siguientes dos comandos: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    El resultado de estos dos comandos debe coincidir.

Pasos para el reemplazo del certificado de servicio de autenticación:

La variable authc No es necesario detener el servicio para que funcione el siguiente procedimiento. Sin embargo, se debe reiniciar para que se carguen los nuevos certificados.

  1. Importación de certificados:
  • Importe el certificado raíz (<CA.crt>) y cualquier certificado de CA intermedio (<ICA.crt>) en authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Utilice el archivo de clave privada del servidor de NetWorker (<server>.key) y el nuevo archivo de certificado firmado por CA (<server.crt>) a fin de crear un archivo de almacenamiento PKCS12 para el emcauthctomcat y emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importe los archivos del almacén PKCS12 al almacén authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importe los archivos del almacén PKCS12 al authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Elimine el certificado autofirmado de NetWorker predeterminado e importe el nuevo certificado firmado por una CA 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Por último, importe este certificado al archivo de almacenamiento de claves cacerts de Java en emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Edite el valor admin_service_default_url=localhost en el archivo C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties para reflejar el nombre de NetWorker Server utilizado en el archivo de certificado firmado por CA:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Es necesario reiniciar los servicios de NetWorker para que AUTHC utilice el nuevo certificado importado.
net stop nsrd
net start nsrd
  1. Restablezca la confianza de AUTHC en NetWorker Server:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Verificaciones posteriores de AUTHC:

  1. Confirme la huella digital del certificado importado:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Ejemplo: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Crear archivos de salida para cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Revise el archivo de salida y confirme que ve el emcauthctomcat y que la huella digital del certificado coincida con la huella digital del paso 1:
La huella digital del certificado coincide con la huella digital del certificado importado
  1. Compruebe authc.truststore y authc.keystore y confirme que emcauthctomcat emcauthcsaml Las huellas digitales del certificado coinciden con la huella digital del paso 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Cuando el servicio AUTHC está en funcionamiento, puede comprobar que el certificado que proporciona a una conexión entrante sea el mismo que el anterior:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Ejemplo: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Interfaz de usuario de NetWorker (nwui) Pasos para reemplazar el certificado de servicio:

Asumimos que el nwui los servicios se ejecutan en NetWorker Server.
  1. Detenga el servicio de NWUI:
net stop nwui
  1. Elimine los certificados autofirmados predeterminados de NetWorker e importe el nuevo archivo de certificado firmado por CA (<server>.crt) al almacén de claves cacerts. Por motivos de coherencia, reemplazamos todos los certificados relacionados con nwui por el certificado firmado por una CA.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Utilice el archivo de clave privada del servidor de NetWorker (<server>.key) y el nuevo archivo de certificado firmado por CA (<server.crt>) a fin de crear un archivo de almacenamiento PKCS12 para el emcauthctomcat y emcauthcsaml Alias para el almacén de claves de NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
NOTA: La contraseña del archivo pkcs12 debe coincidir con la contraseña del almacén de claves. Es por eso que, en este caso, la creamos con el pase del almacén de nwui.
  1. Importe los archivos .p12, el certificado de CA raíz y los certificados de CA intermedios al almacén de claves de NWUI.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Cambie el nombre del emcnwuimonitoring certificate, y coloque nuestro certificado de servidor aquí en esta ruta con el mismo nombre.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Inicie el servicio NWUI:
net start nwui

nwui Verificaciones posteriores:

  1. Confirme la huella digital del certificado importado:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Ejemplo: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Crear archivos de salida para cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Revise el archivo de salida y confirme que ve el emcauthctomcat y que la huella digital del certificado coincida con la huella digital del paso 1:
La huella digital del certificado coincide con la huella digital del certificado importado
  1. Compruebe nwui.keystore y confirme que emcauthctomcat Las huellas digitales del certificado coinciden con la huella digital del paso 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Cuando el servicio NWUI está en funcionamiento, puede comprobar que el certificado que proporciona a una conexión entrante sea el mismo que el anterior:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Ejemplo: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Pasos para reemplazar certificados de PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Compruebe la propiedad de estos archivos y asegúrese de que sean propiedad de la cuenta del sistema LOCAL SERVICE.

server.crt es propiedad de LOCAL SERVICE 

server.key es propiedad de LOCAL SERVICE 
 Si la propiedad del archivo se establece en otra cuenta de usuario o grupo, actualice cada archivo para que sean propiedad del "SERVICIO LOCAL"

Additional Information

Para obtener más información sobre la importación de un certificado firmado por una CA, consulte la Guía de configuración de seguridad de Dell NetWorker.

El proceso para reemplazar el certificado autofirmado de NetWorker Management Console (NMC) por un certificado firmado por una CA se detalla en el siguiente artículo de la base de conocimientos:

NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.