NetWorker: Importowanie lub zastępowanie certyfikatów podpisanych przez urząd certyfikacji dla "AUTHC" i "NWUI" (Windows)

Summary: Oto ogólne kroki umożliwiające zastąpienie domyślnego certyfikatu NetWorker z podpisem własnym certyfikatem certyfikatem podpisanym przez urząd certyfikacji (CA) dla usług "AUTHC" i "NWUI". Ta baza wiedzy ma zastosowanie, gdy serwer NetWorker i serwer sieciowego interfejsu użytkownika NetWorker (NWUI) są zainstalowane w systemach operacyjnych Windows. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

W tych instrukcjach opisano sposób zastępowania domyślnego certyfikatu NetWorker z podpisem własnym certyfikatem certyfikatem podpisanym przez instytucję certyfikującą dla usług AUTHC i NWUI na serwerze NetWorker.

Nazwy plików nie mają wymagań dotyczących nazewnictwa, ale należy odwoływać się do rozszerzeń dla typu pliku. Pokazane przykłady poleceń dotyczą systemu Windows. Aby uzyskać instrukcje dotyczące systemu Linux, zobacz:
NetWorker: Jak zaimportować lub zastąpić certyfikaty podpisane przez urząd certyfikacji dla „Authc” i „NWUI” (Linux)
 

UWAGA: Opisany proces wymaga narzędzia wiersza poleceń OpenSSL. OpenSSL nie jest domyślnie dołączany do systemów operacyjnych Windows. Jeśli narzędzie OpenSSL nie jest zainstalowane, przed kontynuowaniem pracy z tą bazą wiedzy należy skontaktować się z administratorem systemu w celu zainstalowania OpenSSL.

Pliki certyfikatów, których to dotyczy:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Zaangażowane magazyny kluczy:

Nazwa sklepu Domyślna ścieżka
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
UWAGA: Pokazane ścieżki są domyślnymi ścieżkami instalacji; Ścieżka instalacji jest jednak zdefiniowana przez użytkownika i można ją zainstalować w innej lokalizacji. Użyj ścieżek instalacji z serwera, jeśli użyto ścieżek innych niż domyślne. Ścieżka Java NetWorker Runtime Environment (NRE) różni się w zależności od zainstalowanej wersji NRE, ponieważ wpływa to również na wersję zainstalowanej platformy Javy.

Przed rozpoczęciem:

Utwórz kopię następujących plików i folderów w innej lokalizacji:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Wygeneruj klucz prywatny i plik żądania podpisania certyfikatu (CSR), aby dostarczyć je do urzędu certyfikacji.

  1. Otwórz wiersz polecenia administratora i uruchom następujące polecenia:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Wyślij plik CSR (<server>.csr) do urzędu certyfikacji w celu wygenerowania pliku certyfikatu podpisanego przez urząd certyfikacji (<server>.crt). Urząd certyfikacji powinien udostępnić plik certyfikatu podpisanego przez instytucję certyfikującą (<server.crt>), certyfikat główny (<CA.crt>) i wszelkie certyfikaty pośredniego urzędu certyfikacji (<ICA.crt>).

Etapy wstępnej weryfikacji:

Musisz znać prawidłowe hasła magazynu kluczy NetWorker. Hasła te są ustawiane podczas konfiguracji AUTHC i NWUI. Jeśli nie masz pewności, zobacz:

Aby ułatwić wykonywanie kroków i poleceń opisanych poniżej, tworzymy następujące zmienne z wiersza polecenia administratora:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
UWAGA: Wartości tych zmiennych są specyficzne dla środowiska. Wartości należy ustawić zgodnie ze ścieżkami systemowymi i poświadczeniami używanymi w systemie. Te zmienne są ograniczone do sesji wiersza polecenia. Po zamknięciu okna wiersza polecenia zmienne są usuwane. Jeśli istnieje więcej niż jeden certyfikat pośredni, utwórz zmienne dla każdego certyfikatu: ICA1, ICA2 itd.

Upewnij się, że dysponujesz następującymi elementami:

  • server.crt, który zawiera certyfikat PEM, którego pierwszy wiersz to -----BEGIN CERTIFICATE----- a ostatni wiersz to -----END CERTIFICATE-----
  • Plik klucza zaczyna się od -----BEGIN RSA PRIVATE KEY----- i kończy się na -----END RSA PRIVATE KEY-----
  • Potwierdź, że wszystkie certyfikaty są prawidłowymi plikami w formacie PEM, uruchamiając polecenie openssl x509 -in <cert> -text -noout
  • Sprawdź powyższe dane wyjściowe, aby upewnić się, że jest to właściwy certyfikat.
  • Sprawdź dane wyjściowe następujących dwóch poleceń: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Dane wyjściowe tych dwóch poleceń muszą być zgodne.

Czynności wymiany certyfikatu usługi uwierzytelniającej:

Polecenie authc Nie trzeba zatrzymywać usługi, aby poniższa procedura zadziałała. Należy go jednak ponownie uruchomić, aby nowe certyfikaty zostały załadowane.

  1. Importowanie certyfikatów:
  • Zaimportuj certyfikat główny (<CA.crt>) i wszystkie pośrednie certyfikaty urzędu certyfikacji (<ICA.crt>) do authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Użyj pliku klucza prywatnego serwera NetWorker (<server>.key) i nowego pliku certyfikatu podpisanego przez instytucję certyfikującą (<server.crt>), aby utworzyć plik magazynu PKCS12 dla emcauthctomcat i emcauthcsaml pseudonim.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Zaimportuj pliki magazynu PKCS12 do authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Zaimportuj pliki magazynu PKCS12 do authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Usuń domyślny certyfikat NetWorker z podpisem własnym i zaimportuj nowy certyfikat podpisany przez instytucję certyfikującą 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Na koniec zaimportuj ten certyfikat do pliku magazynu kluczy Java cacerts w obszarze emcauthctomcat pseudonim:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Edytuj wartość admin_service_default_url=localhost w pliku C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties , aby odzwierciedlić nazwę serwera NetWorker używaną w pliku certyfikatu podpisanego przez instytucję certyfikującą:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Aby AUTHC mogło użyć nowego zaimportowanego certyfikatu, konieczne jest ponowne uruchomienie usług NetWorker.
net stop nsrd
net start nsrd
  1. Przywróć zaufanie AUTHC na serwerze NetWorker:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Weryfikacje końcowe AUTHC:

  1. Potwierdź odcisk palca zaimportowanego certyfikatu:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Przykład: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Utwórz pliki wyjściowe dla certyfikatów
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Przejrzyj plik wyjściowy i upewnij się, że widzisz emcauthctomcat i że odcisk palca certyfikatu jest zgodny z odciskiem palca z kroku 1:
Odcisk palca certyfikatu odpowiada odciskowi palca z zaimportowanego certyfikatu
  1. Sprawdź authc.truststore i authc.keystore i upewnij się, że emcauthctomcat emcauthcsaml Odciski palców certyfikatów są zgodne z odciskami palców z kroku 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Gdy usługa AUTHC jest uruchomiona i działa, możesz sprawdzić, czy certyfikat, który dostarcza do połączenia przychodzącego, jest taki sam jak powyższy:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Przykład: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Interfejs użytkownika NetWorker (nwui) Czynności wymiany certyfikatu serwisowego:

Zakładamy, że nwui Usługi są uruchomione na serwerze NetWorker.
  1. Zatrzymaj usługę NWUI:
net stop nwui
  1. Usuń domyślne certyfikaty NetWorker z podpisem własnym i zaimportuj nowy plik certyfikatu z podpisem CA (<server>.crt) do magazynu kluczy cacerts. Dla zachowania spójności zastępujemy wszystkie certyfikaty związane z nwui certyfikatem podpisanym przez CA.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Użyj pliku klucza prywatnego serwera NetWorker (<server>.key) i nowego pliku certyfikatu podpisanego przez instytucję certyfikującą (<server.crt>), aby utworzyć plik magazynu PKCS12 dla emcauthctomcat i emcauthcsaml Alias magazynu kluczy NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
UWAGA: Hasło pliku pkcs12 musi być zgodne z hasłem magazynu kluczy. Dlatego w tym przypadku tworzymy go za pomocą nwui storepass.
  1. Zaimportuj pliki .p12, certyfikat głównego urzędu certyfikacji i pośrednie certyfikaty urzędu certyfikacji do magazynu kluczy nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Zmień nazwę pliku binarnego emcnwuimonitoring certificate, a następnie umieść tutaj nasz certyfikat serwera w tej ścieżce o tej samej nazwie.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Uruchom usługę NWUI:
net start nwui

nwui Weryfikacje końcowe:

  1. Potwierdź odcisk palca zaimportowanego certyfikatu:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Przykład: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Utwórz pliki wyjściowe dla certyfikatów
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Przejrzyj plik wyjściowy i upewnij się, że widzisz emcauthctomcat i że odcisk palca certyfikatu jest zgodny z odciskiem palca z kroku 1:
Odcisk palca certyfikatu odpowiada odciskowi palca z zaimportowanego certyfikatu
  1. Sprawdź nwui.keystore i potwierdź, że emcauthctomcat Odciski palców certyfikatów są zgodne z odciskami palców z kroku 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Gdy usługa NWUI jest uruchomiona, możesz sprawdzić, czy certyfikat, który dostarcza do połączenia przychodzącego, jest taki sam jak powyżej:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Przykład: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Kroki wymiany certyfikatu PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Sprawdź własność tych plików i upewnij się, że należą one do konta systemowego USŁUGA LOKALNA.

server.crt jest własnością SERWISU LOKALNEGO 

server.key jest własnością LOCAL SERVICE 
 Jeśli własność pliku jest ustawiona na inne konto użytkownika lub grupę, zaktualizuj każdy plik, tak aby był własnością "USŁUGI LOKALNEJ"

Additional Information

Aby uzyskać więcej informacji na temat importowania certyfikatu podpisanego przez instytucję certyfikującą, zapoznaj się z podręcznikiem konfiguracji zabezpieczeń Dell NetWorker.

Proces zastępowania certyfikatu z podpisem własnym konsoli NetWorker Management Console (NMC) certyfikatem z podpisem CA został szczegółowo opisany w następującym artykule bazy wiedzy:

NetWorker: Jak zaimportować lub zastąpić certyfikaty podpisane przez urząd certyfikacji dla NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.