NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen osoitteille AUTHC ja NWUI (Windows)
Summary: Näillä yleisillä vaiheilla NetWorkerin itse allekirjoitettu oletusvarmenne korvataan varmenteen myöntäjän (CA) allekirjoittamalla varmenteella AUTHC- ja NWUI-palveluissa. Tätä tietämyskannan artikkelia sovelletaan, kun NetWorker-palvelin ja NetWorker Web User Interface (NWUI) -palvelin on asennettu Windows-käyttöjärjestelmään. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Näissä ohjeissa kuvataan, miten NetWorkerin itse allekirjoitettu oletusvarmenne korvataan päämyöntäjän allekirjoittamalla varmenteella NetWorker-palvelimen AUTHC- ja NWUI-palvelujen osalta.
Tiedostonimillä ei ole nimeämisvaatimusta, mutta tiedostotyyppiin on viitattava tiedostotyypin mukaan. Esitetyt komentoesimerkit koskevat Windowsia. Katso Linux-ohjeet:
NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen authc- ja NWUI-varmenteilla (Linux)
HUOMAUTUS: Kuvattu prosessi vaatii OpenSSL-komentoriviapuohjelman. OpenSSL ei oletusarvoisesti sisälly Windows-käyttöjärjestelmiin. Jos OpenSSL-apuohjelmaa ei ole asennettu, kysy järjestelmänvalvojalta OpenSSL:n asentamista, ennen kuin jatkat tämän KB:n käsittelyä.
Mukana olevat varmennetiedostot:
<server>.csr: NetWorker server certificate signing request <server>.key: NetWorker server private key <server>.crt: NetWorker server CA-signed certificate <CA>.crt: CA root certificate <ICA>.crt: CA intermediate certificate (optional if it is available)
Mukana olevat avainsäilöt:
| Kaupan nimi | Oletuspolku |
| authc.keystore | C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore |
| authc.truststore | C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore |
| CACERTit | C:\Program Files\NRE\java\jre#.#.#_##\lib\security\cacerts |
| nwui.keystore | C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore |
HUOMAUTUS: Näytetyt polut ovat oletusasennuspolkuja. Asennuspolku on kuitenkin käyttäjän määrittämä, ja sen voi asentaa toiseen sijaintiin. Käytä palvelimen asennuspolkuja, jos käytettiin muita kuin oletuspolkuja. NetWorker Runtime Environment (NRE) Java -polku vaihtelee asennetun NRE-version mukaan, koska tämä muuttaa myös asennettua Java-versiota.
Ennen kuin aloitat:
Luo kopio seuraavista tiedostoista ja kansioista toiseen sijaintiin:
C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf C:\Program Files\EMC NetWorker\nsr\authc-server\conf
Luo yksityisen avaimen ja varmenteen allekirjoituspyyntötiedosto (CSR), jonka toimitat varmenteiden myöntäjälle.
- Avaa järjestelmänvalvojan komentokehote ja suorita seuraavat komennot:
set openssl="<Path to OpenSSL bin folder>\openssl.exe" %openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
- Luo myöntäjän allekirjoittama varmennetiedosto (server.crt) lähettämällä varmenteiden myöntäjälle tiedosto (<<server>>.csr). Varmenteiden myöntäjän on toimitettava varmenteiden myöntäjän allekirjoittama varmennetiedosto (<server.crt>), juurivarmenne (<CA.crt>) ja mahdolliset välivarmenteiden myöntäjän varmenteet (<ICA.crt>).
Vahvistusta edeltävät vaiheet:
Sinun on tiedettävä oikeat NetWorker-avainsäilön salasanat. Nämä salasanat asetetaan AUTHC- ja NWUI-määritysten yhteydessä. Jos et ole varma, katso:
Alla kuvattujen vaiheiden ja komentojen helpottamiseksi luomme seuraavat muuttujat järjestelmänvalvojan komentokehotteesta:
set hostname=<shortname of NetWorker server> set openssl="<Path to OpenSSL bin folder>\openssl.exe" *For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process. set java_bin="<Path to JRE bin folder>" *For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder. set nsr="<path to nsr folder>" *The default path is “C:\Program Files\EMC NetWorker\nsr” set nwui="<path to nwui folder>" *The default path is “C:\Program Files\EMC NetWorker\nwui” set cert="<path to server crt file>" set key="<path to server key file>" set RCAcert="<path to Root CA file>" set ICAcert="<path to intermediate CA crt file>" set authc_storepass=<AUTHC store password> set nwui_storepass=<NWUI store password>
HUOMAUTUS: Näiden muuttujien arvot ovat ympäristökohtaisia. Arvot on määritettävä järjestelmässä käytettyjen järjestelmäpolkujen ja tunnistetietojen mukaisesti. Nämä muuttujat rajoittuvat komentokehoteistuntoon. Kun komentokehoteikkuna suljetaan, muuttujat poistetaan. Jos välivarmenteita on enemmän kuin yksi, luo kullekin varmenteelle muuttujat: ICA1, ICA2 ja niin edelleen
Varmista, että sinulla on seuraavat ominaisuudet:
- server.crt-tiedosto, joka sisältää PEM-varmenteen, jonka ensimmäinen rivi on -----BEGIN CERTIFICATE----- ja viimeinen rivi on -----END CERTIFICATE-----
- Avaintiedoston alussa on -----BEGIN RSA PRIVATE KEY----- ja se päättyy -----END RSA PRIVATE KEY-----
- Varmista, että kaikki varmenteet ovat kelvollisia PEM-muotoisia tiedostoja suorittamalla
openssl x509 -in <cert> -text -noout - Tarkista yllä oleva tulos varmistaaksesi, että se on oikea varmenne.
- Tarkista seuraavien kahden komennon tulos:
%openssl% rsa -pubout -in %key%
%openssl% x509 -pubkey -noout -in %cert%
Näiden kahden komennon tuloksen on vastattava toisiaan.
Valtuutuspalveluvarmenteen vaihtovaiheet:
pikanäppäimellä authc Palvelua ei tarvitse pysäyttää, jotta alla olevat toimenpiteet toimivat. Se on kuitenkin käynnistettävä uudelleen, jotta uudet varmenteet ladataan.
- Varmenteiden tuominen:
- Tuo päävarmenne (<CA.crt>) ja mahdolliset välivarmenteiden välivarmenteet (<ICA.crt>) authc.keysäilöön:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass% %java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass% %java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass% %java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
- Luo PKCS12-säilötiedosto NetWorker Serverin yksityisen avaimen tiedostolla (<server>.key) ja uudella päämyöntäjän allekirjoittamalla varmennetiedostolla (<server.crt>)
emcauthctomcatjaemcauthcsamlalias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass% %openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
- Tuo PKCS12-säilön tiedostot authc.keystoreen.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass% %java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
- Tuo PKCS12-säilön tiedostot authc.truststore-säilöön.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass% %java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
- Poista oletusarvoinen NetWorkerin itse allekirjoitettu varmenne ja tuo uusi päämyöntäjän allekirjoittama
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass% %java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass% %java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass% %java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
- Tuo lopuksi tämä varmenne Java cacerts keystore -tiedostoon kohdassa
emcauthctomcatalias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit %java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
- Muokkaa C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties-tiedostonarvoa admin_service_default_url=localhost vastaamaan päämyöntäjän allekirjoittamassa varmennetiedostossa käytettyä NetWorker-palvelimen nimeä:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
- NetWorker-palvelut on käynnistettävä uudelleen, jotta AUTHC voi käyttää uutta tuotua varmennetta.
net stop nsrd net start nsrd
- Muodosta AUTHC-luottamussuhde uudelleen NetWorker-palvelimeen:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090
AUTHC-varmennukset:
- Vahvista tuodun varmenteen sormenjälki:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Esimerkki:
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
- Luo tulostetiedostot cacerteille
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
- Tarkista tulostiedosto ja varmista, että näet
emcauthctomcatja että varmenteen sormenjälki vastaa vaiheen 1 sormenjälkeä:
- Tarkista authc.truststore ja authc.keystore ja varmista, että
emcauthctomcatjaemcauthcsamlVarmenteen sormenjäljet vastaavat vaiheen 1 sormenjälkiä:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass% %java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
- Kun AUTHC-palvelu on käynnissä, voit tarkistaa, että sen saapuvalle yhteydelle antama varmenne on sama kuin yllä:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Esimerkki:
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
NetWorker-käyttöliittymä (nwui) Palveluvarmenteen vaihtovaiheet:
nwui Palvelut ovat käynnissä NetWorker-palvelimessa.
- Pysäytä NWUI-palvelu:
net stop nwui
- Poista NetWorkerin itse allekirjoittamat varmenteet ja tuo uusi päämyöntäjän allekirjoittama varmennetiedosto (<server.crt>) cacerts-avainsäilöön. Yhdenmukaisuuden vuoksi korvaamme kaikki nwui-varmenteet CA-allekirjoitetulla varmenteella.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit %java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
- Luo PKCS12-säilötiedosto NetWorker Serverin yksityisen avaimen tiedostolla (<server>.key) ja uudella päämyöntäjän allekirjoittamalla varmennetiedostolla (<server.crt>)
emcauthctomcatjaemcauthcsamlNWUI-avainsäilön alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass% %openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
HUOMAUTUS: PKCS12-tiedoston salasanan on vastattava avainsäilön salasanaa. Siksi tässä tapauksessa luomme sen nwui storepassilla.
- Tuo .p12-tiedostot, CA-päävarmenne ja CA-välivarmenteet nwui-avainsäilöön.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass% %java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass% %java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass% %java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
- Nimeä uudelleen
emcnwuimonitoringvarmenne ja laita palvelinvarmenne tähän polkuun samalla nimellä.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
- Käynnistä NWUI-palvelu:
net start nwui
nwui Varmennuksen jälkeiset toimet:
- Vahvista tuodun varmenteen sormenjälki:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Esimerkki:
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
- Luo tulostetiedostot cacerteille
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
- Tarkista tulostiedosto ja varmista, että näet
emcauthctomcatja että varmenteen sormenjälki vastaa vaiheen 1 sormenjälkeä:
- Tarkista nwui.keystore ja varmista, että
emcauthctomcatVarmenteen sormenjäljet vastaavat vaiheen 1 sormenjälkiä:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
- Kun NWUI-palvelu on toiminnassa, voit tarkistaa, että sen saapuvalle yhteydelle antama varmenne on sama kuin yllä:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Esimerkki:
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
nwui PostgreSQL-varmenteen vaihtovaiheet
move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt copy %key% %nwui%\monitoring\nwuidb\pgdata\server.keyTarkista näiden tiedostojen omistajuus ja varmista, että ne omistaa järjestelmätili LOCAL SERVICE.
Jos tiedoston omistajaksi on määritetty toinen käyttäjätili tai ryhmä, päivitä kukin tiedosto niin, että ne omistaa "LOCAL SERVICE"
Additional Information
Lisätietoja päämyöntäjän allekirjoittaman varmenteen tuomisesta on Dell NetWorker Security Configuration Guide -oppaassa.
NetWorker Management Consolen (NMC) itse allekirjoitetun varmenteen korvaaminen varmenteiden myöntäjän allekirjoittamalla varmenteella on seuraavassa tietämyskannan tietokannassa:
NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen NMC:lle
Affected Products
NetWorkerProducts
NetWorker FamilyArticle Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.