NetWorker: "AUTHC" 및 "NWUI"에 대해 인증 기관에서 서명한 인증서를 가져오거나 교체하는 방법(Windows)

Summary: 다음은 "AUTHC" 및 "NWUI" 서비스에 대해 기본 NetWorker 자체 서명 인증서를 CA(Certificate Authority) 서명 인증서로 교체하는 일반적인 단계입니다. 이 KB는 NetWorker Server 및 NWUI(NetWorker Web User Interface) 서버가 Windows 운영 체제에 설치된 경우에 적용됩니다. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

이 지침에서는 NetWorker Server의 AUTHC 및 NWUI 서비스에 대해 기본 NetWorker 자체 서명 인증서를 CA 서명 인증서로 교체하는 방법을 설명합니다.

파일 이름에는 명명 요구 사항이 없지만 파일 형식에 대한 확장명을 참조해야 합니다. 표시된 명령 예제는 Windows용입니다. Linux 지침은 다음을 참조하십시오.
NetWorker: "Authc" 및 "NWUI"에 대해 인증 기관에서 서명한 인증서를 가져오거나 교체하는 방법(Linux)
 

참고: 설명된 프로세스를 수행하려면 OpenSSL 명령줄 유틸리티가 필요합니다. OpenSSL은 기본적으로 Windows 운영 체제에 포함되어 있지 않습니다. OpenSSL 유틸리티가 설치되지 않은 경우 이 KB를 계속 진행하기 전에 시스템 관리자에게 OpenSSL 설치에 대해 문의하십시오.

관련된 인증서 파일:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

관련된 키 저장소:

점포명 기본 경로
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
참고: 표시된 경로는 기본 설치 경로입니다. 그러나 설치 경로는 사용자가 정의하며 다른 위치에 설치할 수 있습니다. 기본 경로가 아닌 경로가 사용된 경우 서버의 설치 경로를 사용합니다. NRE(NetWorker Runtime Environment) Java 경로는 설치된 Java 버전도 변경되므로 설치된 NRE의 버전에 따라 달라집니다.

시작하기 전에:

다른 위치에 다음 파일 및 폴더의 복사본을 만듭니다.

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

CA에 제공할 개인 키 및 CSR(Certificate Signing Request) 파일을 생성합니다.

  1. 관리자 명령 프롬프트를 열고 다음 명령을 실행합니다.
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. CSR 파일(<server>.csr)을 CA로 보내 CA 서명 인증서 파일(<server>.crt)을 생성합니다. CA는 CA 서명 인증서 파일(<server.crt>), 루트 인증서(<CA.crt>) 및 중간 CA 인증서(<ICA.crt>)를 제공해야 합니다.

사전 검증 단계:

올바른 NetWorker 키 저장소 암호를 알고 있어야 합니다. 이러한 암호는 AUTHC 및 NWUI 구성 중에 설정됩니다. 확실하지 않은 경우 다음을 참조하십시오.

아래에 설명된 단계와 명령을 용이하게 하기 위해 관리자 명령 프롬프트에서 다음 변수를 만듭니다.

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
참고: 이러한 변수의 값은 환경에 따라 다릅니다. 시스템에서 사용되는 시스템 경로 및 자격 증명에 따라 값을 설정해야 합니다. 이러한 변수는 명령 프롬프트 세션으로 제한됩니다. 명령 프롬프트 창이 닫히면 변수가 설정되지 않습니다. 중간 인증서가 두 개 이상 있는 경우 각 인증서에 대한 변수를 만듭니다. ICA1, ICA2 등

다음 항목이 있는지 확인합니다.

  • server.crt 파일 - 첫 번째 줄이 -----BEGIN CERTIFICATE-----이고 마지막 줄이 -----END CERTIFICATE인 PEM 인증서가 포함되어 있습니다-----
  • 키 파일은 -----BEGIN RSA PRIVATE KEY-----로 시작하고 -----END RSA PRIVATE KEY로 끝납니다-----
  • 다음을 실행하여 모든 인증서가 유효한 PEM 형식 파일인지 확인합니다. openssl x509 -in <cert> -text -noout
  • 위의 출력을 확인하여 올바른 인증서인지 확인합니다.
  • 다음 두 명령의 출력을 확인합니다. 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    이 두 명령의 출력은 일치해야 합니다.

인증 서비스 인증서 교체 단계:

이 authc 아래 절차가 작동하기 위해 서비스를 중지할 필요는 없습니다. 그러나 새 인증서를 로드하려면 시스템을 다시 시작해야 합니다.

  1. 인증서 가져오기:
  • 루트 인증서(<CA.crt>)와 중간 CA 인증서(<ICA.crt>)를 authc.keystore로 가져옵니다.
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • NetWorker Server 개인 키 파일(server.key)과 CA 서명 인증서 파일(server.crt>)을 사용하여 NetWorker Server 개인 키 파일(<server>< emcauthctomcatemcauthcsaml 별명.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • PKCS12 저장소 파일을 authc.keystore로 가져옵니다.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • PKCS12 저장소 파일을 authc.truststore로 가져옵니다.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • 기본 NetWorker 자체 서명 인증서를 삭제하고 CA 서명된 새 인증서 가져오기 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • 마지막으로 이 인증서를 아래의 Java cacerts 키 저장소 파일로 가져옵니다. emcauthctomcat 별명:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. CA 서명 인증서 파일에 사용된 NetWorker Server 이름을 반영하도록 C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties 파일의 admin_service_default_url=localhost 값을 편집합니다.
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. AUTHC가 새로 가져온 인증서를 사용하려면 NetWorker 서비스를 재시작해야 합니다.
net stop nsrd
net start nsrd
  1. NetWorker Server에서 AUTHC 신뢰를 다시 설정합니다.
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHC 사후 검증:

  1. 가져온 인증서의 지문을 확인합니다.
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
예: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. cacerts에 대한 출력 파일 생성
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. 출력 파일을 검토하고 emcauthctomcat 항목을 선택하고 인증서 지문이 1단계의 지문과 일치하는지 확인합니다.
인증서 지문이 가져온 인증서의 지문과 일치함
  1. authc.truststoreauthc.keystore를 확인하고 emcauthctomcat 및 emcauthcsaml 인증서 지문이 1단계의 지문과 일치합니다.
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. AUTHC 서비스가 실행 중이면 인바운드 연결에 제공하는 인증서가 위와 동일한지 확인할 수 있습니다.
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
예: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorker 사용자 인터페이스(nwui) 서비스 인증서 교체 단계:

우리는 다음과 같이 가정합니다. nwui 서비스가 NetWorker Server에서 실행되고 있는지 확인합니다.
  1. NWUI 서비스를 중지합니다.
net stop nwui
  1. 기본 NetWorker 자체 서명 인증서를 삭제하고 새 CA 서명 인증서 파일(<server>.crt)을 cacerts 키 저장소로 가져옵니다. 일관성을 위해 모든 nwui 관련 인증서를 CA 서명 인증서로 교체합니다.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. NetWorker Server 개인 키 파일(server.key)과 CA 서명 인증서 파일(server.crt>)을 사용하여 NetWorker Server 개인 키 파일(<server>< emcauthctomcatemcauthcsaml NWUI 키 저장소의 별칭입니다.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
참고: pkcs12 파일 비밀번호는 키 저장소의 비밀번호와 반드시 일치해야 합니다. 이것이 바로 nwui storepass를 사용하여 비밀번호를 생성하는 이유입니다.
  1. .p12 파일, 루트 CA 인증서 및 중간 CA 인증서를 nwui 키 저장소로 가져옵니다.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. 이름 바꾸기 emcnwuimonitoring 인증서를 입력하고 서버 인증서를 동일한 이름으로 이 경로에 입력합니다.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. NWUI 서비스를 시작합니다.
net start nwui

nwui 사후 확인:

  1. 가져온 인증서의 지문을 확인합니다.
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
예: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. cacerts에 대한 출력 파일 생성
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. 출력 파일을 검토하고 emcauthctomcat 항목을 선택하고 인증서 지문이 1단계의 지문과 일치하는지 확인합니다.
인증서 지문이 가져온 인증서의 지문과 일치함
  1. nwui.keystore를 확인하고 emcauthctomcat 인증서 지문이 1단계의 지문과 일치합니다.
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. NWUI 서비스가 실행 중이면 인바운드 연결에 제공하는 인증서가 위와 동일한지 확인할 수 있습니다.
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
예: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui PostgreSQL 인증서 교체 단계

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
이러한 파일의 소유권을 확인하고 시스템 계정 LOCAL SERVICE에서 소유하는지 확인하십시오.

server.crt는 LOCAL SERVICE가 소유합니다. 

server.key는 LOCAL SERVICE가 소유합니다. 
 파일 소유권이 다른 사용자 계정 또는 그룹으로 설정된 경우 각 파일을 업데이트하여 "LOCAL SERVICE"에서 소유하도록 합니다.

Additional Information

CA 서명 인증서 가져오기에 대한 자세한 내용은 Dell NetWorker 보안 구성 가이드를 참조하십시오.

NMC(NetWorker Management Console) 자체 서명 인증서를 CA 서명 인증서로 교체하는 프로세스는 다음 KB에 자세히 설명되어 있습니다.

NetWorker: NMC에 대해 인증 기관에서 서명한 인증서를 가져오거나 교체하는 방법

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.