NetWorker: Så här importerar eller ersätter du certifikat signerade av certifikatutfärdare för "AUTHC" och "NWUI" (Windows)

Summary: Det här är de allmänna stegen för att ersätta det självsignerade standardcertifikatet för NetWorker med ett certifikat signerat av en certifikatutfärdare (CA) för tjänsterna "AUTHC" och "NWUI". Denna KB gäller när NetWorker-servern och NetWorker Web User Interface-servern (NWUI) är installerade på Windows-operativsystem. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

I de här anvisningarna beskrivs hur du ersätter det självsignerade standardcertifikatet för NetWorker med ett CA-signerat certifikat för AUTHC- och NWUI-tjänsterna på NetWorker-servern.

Filnamnen har inget namngivningskrav, men tilläggen ska refereras till för filtypen. Kommandoexemplen som visas är för Windows. För Linux-instruktioner, se:
NetWorker: Så här importerar eller ersätter du signerade certifikat från certifikatutfärdare för "Authc" och "NWUI" (Linux)
 

Obs! Processen som beskrivs kräver kommandoradsverktyget OpenSSL. OpenSSL ingår inte i Windows-operativsystem som standard. Om OpenSSL-verktyget inte är installerat kontaktar du systemadministratören för att installera OpenSSL innan du fortsätter med den här kunskapsbasartikeln.

Berörda certifikatfiler:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Berörda nyckelbehållare:

Butiksnamn Standardsökväg
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
CACERTS C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
Obs! Sökvägarna som visas är standardinstallationssökvägar. Installationssökvägen är dock användardefinierad och kan installeras på en annan plats. Använd installationssökvägarna från servern om icke-standardsökvägar användes. Java-sökvägen för NetWorker Runtime Environment (NRE) skiljer sig åt beroende på vilken version av NRE som är installerad, eftersom detta också ändrar den installerade versionen av Java.

Innan du börjar:

Skapa en kopia av följande filer och mappar på en annan plats:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Generera en CSR-fil (Private Key and Certificate Signing Request) som du ska tillhandahålla till certifikatutfärdaren.

  1. Öppna en kommandotolk för administratör och kör följande kommandon:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Skicka CSR-filen (<server>.csr) till certifikatutfärdaren för att generera den certifikatutfärdarsignerade certifikatfilen (<server.crt>). Certifikatutfärdaren ska tillhandahålla den CA-signerade certifikatfilen (<server.crt>), rotcertifikatet (<CA.crt>) och eventuella mellanliggande CA-certifikat (<ICA.crt>).

Steg före verifiering:

Du måste känna till de korrekta lösenorden för NetWorker-nyckelbehållaren. Dessa lösenord anges under AUTHC- och NWUI-konfigurationen. Om du är osäker, se:

För att underlätta de steg och kommandon som beskrivs nedan skapar vi följande variabler från en kommandotolk för administratörer:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
Obs! Värdena för dessa variabler är miljöspecifika. Du måste ange värdena i enlighet med de systemsökvägar och autentiseringsuppgifter som används i systemet. Dessa variabler är begränsade till kommandotolkssessionen. När kommandotolksfönstret har stängts tas variablerna bort. Om det finns fler än ett mellanliggande certifikat skapar du variabler för varje certifikat: ICA1, ICA2 och så vidare

Kontrollera att du har följande:

  • server.crt-fil, som innehåller ett PEM-certifikat vars första rad är -----BEGIN CERTIFICATE----- och den sista raden är -----END CERTIFICATE-----
  • Nyckelfilen börjar med -----BEGIN RSA PRIVATE KEY----- och slutar med -----END RSA PRIVATE KEY-----
  • Bekräfta att alla certifikat är giltiga PEM-formatfiler genom att köra openssl x509 -in <cert> -text -noout
  • Kontrollera ovanstående utdata för att vara säker på att det är rätt certifikat.
  • Kontrollera utdata för följande två kommandon: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Utdata från dessa två kommandon måste matcha.

Steg för byte av auktoriseringstjänstcertifikat:

Informationen authc Tjänsten behöver inte stoppas för att nedanstående procedur ska fungera. Den måste dock startas om för att de nya certifikaten ska läsas in.

  1. Importera certifikaten:
  • Importera rotcertifikatet (<CA.crt>) och eventuella mellanliggande CA-certifikat (<ICA.crt>) till authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Använd NetWorker-serverns privata nyckelfil (<server>.key) och den nya CA-signerade certifikatfilen (<server.crt>) för att skapa en PKCS12-arkivfil för emcauthctomcat och emcauthcsaml alias.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Importera PKCS12-arkivfilerna till authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Importera PKCS12-arkivfilerna till authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Ta bort det självsignerade standardcertifikatet för NetWorker och importera det nya CA-signerade 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Importera slutligen det här certifikatet till Java cacerts-nyckelfilen under emcauthctomcat alias:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Redigera värdet admin_service_default_url=localhost i filen C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties för att återspegla NetWorker-servernamnet som används i den CA-signerade certifikatfilen:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. NetWorker-tjänsterna måste startas om för att AUTHC ska kunna använda det nya importerade certifikatet.
net stop nsrd
net start nsrd
  1. Återupprätta AUTHC-förtroende på NetWorker-servern:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHC-efterverifieringar:

  1. Bekräfta fingeravtrycket på det importerade certifikatet:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Exempel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Skapa utdatafiler för cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Granska utdatafilen och bekräfta att du ser emcauthctomcat och att certifikatets fingeravtryck matchar fingeravtrycket från steg 1:
Certifikatets fingeravtryck matchar fingeravtrycket från det importerade certifikatet
  1. Kontrollera authc.truststore och authc.keystore och bekräfta att emcauthctomcat och emcauthcsaml Certifikatfingeravtryck matchar fingeravtrycket från steg 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. När AUTHC-tjänsten är igång kan du kontrollera att certifikatet som tillhandahålls till en inkommande anslutning är detsamma som ovanstående:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Exempel: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorker-användargränssnitt (nwui) Steg för utbyte av servicecertifikat:

Vi antar att nwui tjänster körs på NetWorker-servern.
  1. Stoppa NWUI-tjänsten:
net stop nwui
  1. Ta bort de självsignerade standardcertifikaten för NetWorker och importera den nya CA-signerade certifikatfilen (<server.crt>) till cacerts-nyckelbehållaren. För konsekvensens skull ersätter vi alla nwui-relaterade certifikat med det CA-signerade certifikatet.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Använd NetWorker-serverns privata nyckelfil (<server>.key) och den nya CA-signerade certifikatfilen (<server.crt>) för att skapa en PKCS12-arkivfil för emcauthctomcat och emcauthcsaml alias för NWUI-nyckelbehållaren.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
Obs! Fillösenordet för pkcs12 måste matcha lösenordet för nyckelbehållaren. Det är därför vi i det här fallet skapar det med nwui-storepasset.
  1. Importera .p12-filerna, rotcertifikatutfärdarcertifikatet och mellanliggande CA-certifikat till nwui-nyckelarkivet.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Byt namn på emcnwuimonitoring certifikat och placera vårt servercertifikat här i den här sökvägen med samma namn.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Starta NWUI-tjänsten:
net start nwui

nwui Efterkontroller:

  1. Bekräfta fingeravtrycket på det importerade certifikatet:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Exempel: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Skapa utdatafiler för cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Granska utdatafilen och bekräfta att du ser emcauthctomcat och att certifikatets fingeravtryck matchar fingeravtrycket från steg 1:
Certifikatets fingeravtryck matchar fingeravtrycket från det importerade certifikatet
  1. Kontrollera nwui.keystore och bekräfta att emcauthctomcat Certifikatfingeravtryck matchar fingeravtrycket från steg 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. När NWUI-tjänsten är igång kan du kontrollera att certifikatet som tillhandahålls till en inkommande anslutning är detsamma som ovanstående:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Exempel: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Steg för byte av PostgreSQL-certifikat

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Kontrollera ägarskapet för dessa filer och se till att de ägs av systemkontot LOKAL TJÄNST.

server.crt ägs av LOKAL TJÄNST 

server.key ägs av LOCAL SERVICE 
 Om filägarskapet är inställt på ett annat användarkonto eller en annan grupp uppdaterar du varje fil så att de ägs av "LOKAL TJÄNST"

Additional Information

Mer information om hur du importerar ett CA-signerat certifikat finns i manualen för Dell NetWorker-säkerhetskonfiguration.

Processen för att ersätta det självsignerade NetWorker Management Console-certifikatet (NMC) med ett CA-signerat certifikat beskrivs i följande KB:

NetWorker: Så här importerar eller ersätter du signerade certifikat från certifikatutfärdare för NMC

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269543
Article Type: How To
Last Modified: 14 Nov 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.