NetWorker. Импорт или замена сертификатов, подписанных источником сертификатов, для «AUTHC» и «NWUI» (Windows)
Summary: Ниже приведены общие действия по замене самозаверяющего сертификата NetWorker по умолчанию сертификатом, подписанным источником сертификатов (CA) для служб «AUTHC» и «NWUI». Эта статья базы знаний применяется, когда сервер NetWorker и сервер веб-интерфейса пользователя NetWorker (NWUI) установлены в операционных системах Windows. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
В данных инструкциях описывается замена самозаверяющего сертификата NetWorker по умолчанию сертификатом, подписанным ИС, для служб AUTHC и NWUI на сервере NetWorker.
Требования к именованию файлов не требуются, но для типа файла следует ссылаться на расширения. Показанные примеры команд предназначены для Windows. Инструкции для Linux см. в
разделе NetWorker. Импорт или замена сертификатов, подписанных центром сертификации, для «Authc» и «NWUI» (Linux)
ПРИМЕЧАНИЕ. Для описанного процесса требуется утилита командной строки OpenSSL. OpenSSL по умолчанию не включен в операционные системы Windows. Если утилита OpenSSL не установлена, проконсультируйтесь с системным администратором по установке OpenSSL, прежде чем продолжать работу с этой статьей базы знаний.
Задействованные файлы сертификатов:
<server>.csr: NetWorker server certificate signing request <server>.key: NetWorker server private key <server>.crt: NetWorker server CA-signed certificate <CA>.crt: CA root certificate <ICA>.crt: CA intermediate certificate (optional if it is available)
Задействованные хранилища ключей:
| Название магазина | Путь по умолчанию |
| authc.keystore | C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore |
| authc.truststore | C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore |
| cacerts | C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts |
| nwui.keystore | C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore |
ПРИМЕЧАНИЕ. Показанные пути являются путями установки по умолчанию; Однако путь установки определяется пользователем и может быть установлен в другом месте. Если использовались пути, отличные от путей по умолчанию, используйте пути установки с вашего сервера. Путь Java в NetWorker Runtime Environment (NRE) различается в зависимости от установленной версии NRE, так как от этого зависит и установленная версия java.
Прежде чем начать:
Создайте копии следующих файлов и папок в другом месте:
C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf C:\Program Files\EMC NetWorker\nsr\authc-server\conf
Создайте закрытый ключ и файл запроса на заверение сертификата (CSR) для предоставления вашему CA.
- Откройте командную строку администратора и выполните следующие команды:
set openssl="<Path to OpenSSL bin folder>\openssl.exe" %openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
- Отправьте файл CSR (<server>.csr) в CA, чтобы создать файл сертификата с подписью CA (<server>.crt). Источник сертификатов должен предоставить файл сертификата, подписанного ИС (<server.crt>), корневой сертификат (<CA.crt>) и любые промежуточные сертификаты источника сертификатов (<ICA.crt>).
Этапы предварительной проверки:
Необходимо знать правильные пароли хранилища ключей NetWorker. Эти пароли задаются во время настройки AUTHC и NWUI. Если вы не уверены, см.:
Для облегчения шагов и команд, описанных ниже, мы создадим следующие переменные из командной строки администратора:
set hostname=<shortname of NetWorker server> set openssl="<Path to OpenSSL bin folder>\openssl.exe" *For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process. set java_bin="<Path to JRE bin folder>" *For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder. set nsr="<path to nsr folder>" *The default path is “C:\Program Files\EMC NetWorker\nsr” set nwui="<path to nwui folder>" *The default path is “C:\Program Files\EMC NetWorker\nwui” set cert="<path to server crt file>" set key="<path to server key file>" set RCAcert="<path to Root CA file>" set ICAcert="<path to intermediate CA crt file>" set authc_storepass=<AUTHC store password> set nwui_storepass=<NWUI store password>
ПРИМЕЧАНИЕ. Значения этих переменных зависят от среды. Значения необходимо устанавливать в соответствии с системными путями и учетными данными, используемыми в вашей системе. Эти переменные ограничены сеансом командной строки. После закрытия окна командной строки переменные будут отменены. Если имеется несколько промежуточных сертификатов, создайте переменные для каждого сертификата: ICA1, ICA2 и т. д.
Убедитесь в наличии следующего:
- server.crt, содержащий сертификат PEM, первая строка которого — -----BEGIN CERTIFICATE----- а последняя — -----END CERTIFICATE-----
- Файл ключа начинается с -----BEGIN RSA PRIVATE KEY----- и заканчивается словами -----END RSA PRIVATE KEY-----
- Убедитесь, что все сертификаты являются действительными файлами формата PEM, выполнив команду
openssl x509 -in <cert> -text -noout - Проверьте указанные выше выходные данные, чтобы убедиться в том, что это правильный сертификат.
- Проверьте выходные данные следующих двух команд:
%openssl% rsa -pubout -in %key%
%openssl% x509 -pubkey -noout -in %cert%
Выходные данные этих двух команд должны совпадать.
Этапы замены сертификата службы аутентификации:
Переменная authc Для выполнения описанной ниже процедуры не обязательно останавливать обслуживание. Однако для загрузки новых сертификатов его необходимо перезапустить.
- Импорт сертификатов:
- Импортируйте корневой сертификат (<CA.crt>) и все промежуточные сертификаты CA (<ICA.crt>) в хранилище ключей authc.key:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass% %java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass% %java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass% %java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
- Используйте файл закрытого ключа сервера NetWorker (<server>.key) и новый файл сертификата, подписанного ИС (<server.crt>), чтобы создать файл хранилища PKCS12 для
emcauthctomcatиemcauthcsamlпсевдоним.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass% %openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
- Импортируйте файлы хранилища PKCS12 в хранилище ключей authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass% %java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
- Импортируйте файлы хранилища PKCS12 в хранилище authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass% %java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
- Удалите самозаверяющий сертификат NetWorker по умолчанию и импортируйте новый сертификат, подписанный ИС
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass% %java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass% %java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass% %java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
- Наконец, импортируйте этот сертификат в файл хранилища ключей Java cacerts в
emcauthctomcatпсевдоним:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit %java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
- Отредактируйте значение admin_service_default_url=localhost в файле C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties, чтобы оно отражало имя сервера NetWorker, используемое в файле сертификата, подписанного ИС:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
- Чтобы AUTHC могла использовать новый импортированный сертификат, требуется перезапуск служб NetWorker.
net stop nsrd net start nsrd
- Восстановите доверие AUTHC на сервере NetWorker.
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090
Постпроверки AUTHC:
- Подтвердите отпечаток импортированного сертификата:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Пример.
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
- Создайте выходные файлы для cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
- Просмотрите выходной файл и убедитесь, что отображается
emcauthctomcatи что отпечаток сертификата совпадает с отпечатком пальца из шага 1:
- Проверьте authc.truststore и authc.keystore и убедитесь, что
emcauthctomcatиemcauthcsamlОтпечатки сертификатов совпадают с отпечатками пальцев из шага 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass% %java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
- Когда служба AUTHC включена и запущена, можно проверить, что сертификат, который она предоставляет входящему подключению, совпадает с приведенным выше:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Пример.
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
Пользовательский интерфейс NetWorker (nwui) Этапы замены сервисного сертификата:
nwui службы выполняются на сервере NetWorker.
- Остановите службу NWUI:
net stop nwui
- Удалите самозаверяющие сертификаты NetWorker по умолчанию и импортируйте новый файл сертификата, подписанного CA (<server>.crt), в хранилище ключей cacerts. Для обеспечения согласованности мы заменяем все сертификаты, связанные с nwui, сертификатом, подписанным CA.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit %java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
- Используйте файл закрытого ключа сервера NetWorker (<server>.key) и новый файл сертификата, подписанного ИС (<server.crt>), чтобы создать файл хранилища PKCS12 для
emcauthctomcatиemcauthcsamlПсевдоним хранилища ключей NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass% %openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
ПРИМЕЧАНИЕ. Пароль файла pkcs12 должен совпадать с паролем хранилища ключей. Именно поэтому в этом случае мы создаем его с помощью nwui storepass.
- Импортируйте файлы .p12, сертификат корневого источника сертификатов и сертификаты промежуточного источника сертификатов в хранилище ключей nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass% %java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass% %java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass% %java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
- Переименуйте
emcnwuimonitoringcertificate, и поместите сертификат сервера в этот путь с таким же именем.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
- Запустите службу NWUI.
net start nwui
nwui Постпроверка:
- Подтвердите отпечаток импортированного сертификата:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Пример.
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
- Создайте выходные файлы для cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
- Просмотрите выходной файл и убедитесь, что отображается
emcauthctomcatи что отпечаток сертификата совпадает с отпечатком пальца из шага 1:
- Проверьте nwui.keystore и убедитесь, что метод
emcauthctomcatОтпечатки сертификатов совпадают с отпечатками пальцев из шага 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
- Когда служба NWUI включена и работает, можно проверить, что сертификат, который она предоставляет входящему подключению, совпадает с указанным выше:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Пример.
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
nwui Действия по замене сертификата PostgreSQL
move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt copy %key% %nwui%\monitoring\nwuidb\pgdata\server.keyПроверьте право собственности на эти файлы и убедитесь, что они принадлежат ЛОКАЛЬНОЙ СЛУЖБЕ системной учетной записи.
Если в качестве владельца файла установлена другая учетная запись или группа пользователей, обновите каждый файл так, чтобы они принадлежали «LOCAL SERVICE»
Additional Information
Дополнительные сведения об импорте сертификата, подписанного ИС, см. в Руководстве по настройке безопасности Dell NetWorker.
Процедура замены самозаверяющего сертификата NetWorker Management Console (NMC) сертификатом, подписанным CA, подробно описана в следующей статье базы знаний:
NetWorker. Импорт или замена сертификатов, подписанных центром сертификации, для NMC
Affected Products
NetWorkerProducts
NetWorker FamilyArticle Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.