NetWorker : Importation ou remplacement de certificats signés par une autorité de certification pour « AUTHC » et « NWUI » (Windows)

Summary: Voici les étapes générales à suivre pour remplacer le certificat auto-signé NetWorker par défaut par un certificat signé par une autorité de certification (AC) pour les services « AUTHC » et « NWUI ». Cet article de la base de connaissances s’applique lorsque NetWorker Server et le serveur NetWorker Web User Interface (NWUI) sont installés sur des systèmes d’exploitation Windows. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Ces instructions expliquent comment remplacer le certificat auto-signé NetWorker par défaut par un certificat signé par une autorité de certification pour les services AUTHC et NWUI sur le NetWorker Server.

Les noms de fichiers n’ont pas d’exigence de nommage, mais les extensions doivent être référencées pour le type de fichier. Les exemples de commande présentés sont destinés à Windows. Pour obtenir des instructions Linux, reportez-vous à :
NetWorker : comment importer ou remplacer les certificats signés par l’autorité de certification pour « Authc » et « NWUI » (Linux)
 

Remarque : Le processus décrit nécessite l’utilitaire de ligne de commande OpenSSL. Par défaut, OpenSSL n’est pas inclus sur les systèmes d’exploitation Windows. Si l’utilitaire OpenSSL n’est pas installé, consultez votre administrateur système pour l’installation d’OpenSSL avant de poursuivre avec cet article de la base de connaissances.

Fichiers de certificat concernés :

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Magasins de clés concernés :

Nom du magasin Chemin par défaut
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C :\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
Remarque : Les chemins indiqués sont les chemins d’installation par défaut ; Toutefois, le chemin d’installation est défini par l’utilisateur et peut être installé ailleurs. Utilisez les chemins d’installation à partir de votre serveur si des chemins autres que ceux par défaut ont été utilisés. Le chemin java NetWorker Runtime Environment (NRE) varie en fonction de la version de NRE installée, car il modifie également la version de Java installée.

Avant de commencer :

Créez une copie des fichiers et dossiers suivants dans un autre emplacement :

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Générez un fichier de clé privée et de demande de signature de certificat (CSR) à fournir à votre autorité de certification.

  1. Ouvrez une invite de commande administrateur et exécutez les commandes suivantes :
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Envoyez le fichier CSR (<server>.csr) à l’autorité de certification pour générer le fichier de certificat signé par l’autorité de certification (<server>.crt). L’autorité de certification doit fournir le fichier de certificat signé par une autorité de certification (<server.crt>), le certificat racine (<CA.crt>) et tous les certificats d’autorité de certification intermédiaires (<ICA.crt>).

Étapes de prévérification :

Vous devez connaître les mots de passe corrects du magasin de clés NetWorker. Ces mots de passe sont définis lors de la configuration AUTHC et NWUI. Si vous n’êtes pas sûr, reportez-vous à la section :

Afin de faciliter les étapes et les commandes décrites ci-dessous, nous créons les variables suivantes à partir d’une invite de commande administrateur :

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
Remarque : Les valeurs de ces variables sont spécifiques à l’environnement. Vous devez définir les valeurs en fonction des chemins système et des informations d’identification utilisés sur votre système. Ces variables sont limitées à la session d’invite de commandes. Une fois la fenêtre d’invite de commande fermée, les variables ne sont pas définies. S’il existe plusieurs certificats intermédiaires, créez des variables pour chaque certificat : ICA1, ICA2, et ainsi de suite

Assurez-vous de disposer des éléments suivants :

  • server.crt, qui contient un certificat PEM dont la première ligne est -----BEGIN CERTIFICATE----- et la dernière ligne est -----END CERTIFICATE-----
  • Le fichier de clés commence par ----- BEGIN RSA PRIVATE KEY ----- et se termine par ----- END RSA PRIVATE KEY -----
  • Vérifiez que tous les certificats sont des fichiers au format PEM valides en exécutant openssl x509 -in <cert> -text -noout
  • Vérifiez la sortie ci-dessus pour vous assurer qu’il s’agit du bon certificat.
  • Vérifiez la sortie des deux commandes suivantes : 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    La sortie de ces deux commandes doit correspondre.

Étapes de remplacement du certificat de service d’authentification :

La commande authc Il n’est pas nécessaire d’arrêter le service pour que la procédure ci-dessous fonctionne. Toutefois, il doit être redémarré pour que les nouveaux certificats soient chargés.

  1. Importation des certificats :
  • Importez le certificat racine (<CA.crt>) et tous les certificats d’autorité de certification intermédiaires (<ICA.crt>) dans authc.keystore :
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Utilisez le fichier de clé privée NetWorker Server (<server>.key) et le nouveau fichier de certificat signé par une autorité de certification (<server.crt>) pour créer un fichier de stockage PKCS12 pour emcauthctomcat et emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importez les fichiers de la banque PKCS12 dans authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importez les fichiers du magasin PKCS12 dans authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Supprimez le certificat auto-signé NetWorker par défaut et importez le nouveau certificat signé par une autorité de certification 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Enfin, importez ce certificat dans le fichier de magasin de clés Java cacerts sous emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Modifiez la valeur admin_service_default_url=localhost dans le fichier C :\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties pour refléter le nom du NetWorker Server utilisé dans le fichier de certificat signé par une autorité de certification :
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Un redémarrage des services NetWorker est nécessaire pour qu’AUTHC utilise le nouveau certificat importé.
net stop nsrd
net start nsrd
  1. Rétablissez la relation de confiance AUTHC sur le serveur NetWorker :
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Vérifications post-AUTHC :

  1. Confirmez l’empreinte du certificat importé :
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Exemple : 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Créer des fichiers de sortie pour les certificats
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Vérifiez le fichier de sortie et confirmez que le message emcauthctomcat et que l’empreinte du certificat correspond à l’empreinte digitale de l’étape 1 :
L’empreinte du certificat correspond à l’empreinte du certificat importé
  1. Vérifiez authc.truststore et authc.keystore et confirmez que le fichier emcauthctomcat et emcauthcsaml Les empreintes du certificat correspondent à l’empreinte de l’étape 1 :
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Lorsque le service AUTHC est opérationnel, vous pouvez vérifier que le certificat qu’il fournit à une connexion entrante est le même que celui indiqué ci-dessus :
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Exemple : 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Interface utilisateur NetWorker (nwui) Étapes de remplacement du certificat de service :

Nous supposons que l’attribut nwui Les services sont en cours d’exécution sur le serveur NetWorker.
  1. Arrêtez le service NWUI :
net stop nwui
  1. Supprimez les certificats auto-signés NetWorker par défaut et importez le nouveau certificat signé par l’autorité de certification (<server>.crt) dans le magasin de clés cacerts. Pour plus de cohérence, nous remplaçons tous les certificats liés à nwui par le certificat signé par l’autorité de certification.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Utilisez le fichier de clé privée NetWorker Server (<server>.key) et le nouveau fichier de certificat signé par une autorité de certification (<server.crt>) pour créer un fichier de stockage PKCS12 pour emcauthctomcat et emcauthcsaml Alias du magasin de clés NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
Remarque : le mot de passe du fichier pkcs12 doit correspondre au mot de passe du magasin de clés. C’est pourquoi, dans ce cas, nous le créons avec nwui storepass.
  1. Importez les fichiers.p12, le certificat d’autorité de certification racine et les certificats d’autorité de certification intermédiaires dans le magasin de clés nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Renommez le fichier binaire emcnwuimonitoring certificat, et placez notre certificat de serveur ici dans ce chemin avec le même nom.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Démarrez le service NWUI :
net start nwui

nwui Vérifications a posteriori :

  1. Confirmez l’empreinte du certificat importé :
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Exemple : 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Créer des fichiers de sortie pour les certificats
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Vérifiez le fichier de sortie et confirmez que le message emcauthctomcat et que l’empreinte du certificat correspond à l’empreinte digitale de l’étape 1 :
L’empreinte du certificat correspond à l’empreinte du certificat importé
  1. Vérifiez le nwui.keystore et confirmez que le fichier emcauthctomcat Les empreintes du certificat correspondent à l’empreinte de l’étape 1 :
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Lorsque le service NWUI est opérationnel, vous pouvez vérifier que le certificat qu’il fournit à une connexion entrante est le même que celui indiqué ci-dessus :
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Exemple : 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Étapes de remplacement du certificat PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Vérifiez la propriété de ces fichiers et assurez-vous qu’ils sont détenus par le compte système LOCAL SERVICE.

server.crt est la propriété de LOCAL SERVICE 

server.key appartient à LOCAL SERVICE 
 Si la propriété du fichier est définie sur un autre compte utilisateur ou groupe, mettez à jour chaque fichier afin qu’il appartienne à « LOCAL SERVICE »

Additional Information

Pour plus d’informations sur l’importation d’un certificat signé par une autorité de certification, reportez-vous au Guide de configuration de la sécurité de Dell NetWorker.

Le processus de remplacement du certificat auto-signé NetWorker Management Console (NMC) par un certificat signé par une autorité de certification est décrit dans l’article suivant de la base de connaissances :

NetWorker : comment importer ou remplacer les certificats signés par l’autorité de certification pour NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.