NetWorker: Jak importovat nebo nahradit certifikáty podepsané certifikační autoritou pro konzoli NMC

Summary: Tyto pokyny popisují, jak nahradit výchozí certifikát NetWorker podepsaný držitelem certifikátem podepsaným certifikační autoritou na serveru konzole NetWorker Management Console (NMC). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tyto pokyny popisují, jak nahradit výchozí certifikát NetWorker podepsaný držitelem certifikátem podepsaným certifikační autoritou pro konzoli NetWorker Management Console (NMC). Tento článek znalostní databáze obsahuje pokyny pro servery NMC se systémem Windows i Linux.

Postup nahrazení certifikátů služby NetWorker Server Authentication Service (authc) a webového uživatelského rozhraní NetWorker (NWUI) certifikáty podepsanými držitelem certifikáty podepsanými certifikační autoritou je podrobně popsán v následujících článcích znalostní databáze pro konkrétní operační systémy:

Příslušné certifikáty:

  • <server>.csr: Požadavek na podpis certifikátu serveru NetWorker Management Console

  • <server>.key: Soukromý klíč serveru NetWorker Management Console

  • <server>.crt: Certifikát podepsaný certifikační autoritou serveru konzole NetWorker Management Console

  • <CA>.crt: Kořenový certifikát certifikační autority

  • <ICA>.crt: Zprostředkující certifikát certifikační autority (volitelný, pokud je k dispozici)

POZNÁMKA: Kde <server> je zkrácený název serveru NMC.

Než začnete:

Tento proces používá nástroj OpenSSL. Tento nástroj je ve výchozím nastavení poskytován v operačních systémech Linux; není však součástí systémů Windows. Instalaci OpenSSL konzultujte se správcem systému. Požadovaná verze softwaru OpenSSL se liší v závislosti na nainstalované verzi nástroje NetWorker.

  • NetWorker 19.8 a starší vyžadují openssl verze 1.0.2
  • NetWorker 19.9 až 19.11 vyžaduje openssl verze 1.1.1n 
POZNÁMKA: Hostitelé Linuxu používající nástroj NetWorker 19.12.0.0 podporují protokol OpenSSL 3.0.14. Systém Windows stále vyžaduje verzi 1.1.1n.
VÝSTRAHA: Pokud je použita nesprávná verze softwaru OpenSSL, proces GSTD konzole NMC nespustí nástroj NetWorker: Služba NMC GST se spustí a po nahrazení cakey.pem se okamžitě vypne.


Verzi OpenSSL lze identifikovat následovně:

Linux: 
# openssl version
Windows:
  1. V Průzkumníkovi souborů systému Windows přejděte do umístění openssl.exe. Tato cesta se může lišit v závislosti na tom, jak byl software OpenSSL nainstalován.
  2. Otevřete soubor openssl.exe a přejděte na kartu Details . V poli Verze produktu jsou uvedeny podrobnosti o verzi OpenSSL:
Podrobnosti o verzi OpenSSL

Alternativně, pokud je cesta k souboru openssl.exe součástí systémové proměnné PATH, můžete z ní spustit příkaz 'openssl version' a příkazový řádek správce; V opačném případě můžete změnit adresář (cd) na adresář openssl.exe.

 

Vygenerujte soukromý klíč a soubor požadavku na podpis certifikátu (CSR), který poskytnete své certifikační autoritě.

  1. Na serveru NMC vytvořte pomocí nástroje příkazového řádku OpenSSL soubor privátního klíče serveru NetWorker (<server>.key) a CSR (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Soubory CSR a klíče lze umístit do vámi zvoleného umístění, pokud složka C:\tmp neexistuje.
 
  1. Odešlete soubor CSR (<server>.csr) certifikačnímu úřadu, aby vygeneroval soubor certifikátu podepsaný certifikační autoritou (<server>.crt). Certifikační autorita by měla poskytnout soubor certifikátu podepsaný certifikační autoritou (<server>.crt), kořenový certifikát (<CA>.crt) a všechny certifikáty zprostředkující certifikační autority (<ICA>.crt).

Servery Linux NetWorker Management Console (NMC):

  1. Získejte certifikáty podepsané certifikační autoritou v jednotlivých souborech klíčů nebo v jednom souboru ve formátu PFX.
  2. Pokud jsou certifikáty podepsané certifikační autoritou v jednom souboru PFX, je možné extrahovat privátní klíč a certifikát podepsaný certifikační autoritou jako u nástroje OpenSSL (Windows nemusí mít nainstalovaný OpenSSL, lze jej nainstalovat samostatně).
POZNÁMKA: Při provádění tohoto postupu se ujistěte, že jste nahradili soubory .crt a .key úplnou cestou k souboru, včetně názvu certifikátu a odpovídajících souborů klíčů.
A. Ze souboru PFX extrahujte soukromý klíč a certifikát podepsaný certifikační autoritou.
Soukromý klíč: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certifikát CA: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Ověřte integritu server.key a server.crt.

POZNÁMKA: Ujistěte se, že výstup ukazuje stejnou hodnotu hash kontrolního součtu z těchto dvou výstupů. Pokud se liší, je problém. Pokud se shodují, pokračujte dalším krokem.
Soukromý klíč: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Certifikát CA: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Převeďte soukromý klíč, certifikát serveru podepsaný certifikační autoritou, kořenovou certifikační autoritu (a všechny zprostředkující certifikáty) do formátu PEM.

Soukromý klíč: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Serverový certifikát podepsaný certifikační autoritou: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Certifikát kořenové certifikační autority: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Certifikát zprostředkující certifikační autority (je-li k dispozici): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Zkombinujte soubor server.key.pem, kořenový soubor CA.crt, zprostředkující certifikát (pokud je k dispozici) a podepsaný certifikát serveru do souboru cakey.pem pro NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Vypněte službu gst serveru NMC:
# systemctl stop gst
  1. Vytvořte kopii existujícího souboru cakey.pem a pak nahraďte výchozí soubor souborem vytvořeným v kroku 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Vytvořte kopii souborů server.crt a server.key serveru NMC a poté nahraďte původní soubory podepsanými server.crt a server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
POZNÁMKA: Můžete se vrátit k záložním kopiím jakýchkoli zjištěných problémů. Použití příkazu kopírovat k přepsání originálů zajistí, že si soubory zachovají správné vlastnictví a oprávnění. Tyto soubory musí vlastnit výchozí účet služby NMC (nsrnmc) s oprávněními 600 .
  1. Spusťte službu gst serveru NMC:
# systemctl start gst
  1. Monitorujte /opt/lgtonmc/logs/gstd.raw serveru NMC, jestli neobsahuje nějaké chyby.

NetWorker: Jak pomocí technologie nsr_render_log vykreslit .raw soubor protokolu

Ověření:

Když je spuštěná služba gst serveru NMC, porovnejte otisk certifikátu podepsaného certifikační autoritou s otiskem prstu na servisním portu gst (9000) konzole NMC:

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

Otisk SHA256 těchto dvou příkazů by se měl shodovat.

Příklad:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Servery konzole Windows NetWorker Management Console (NMC):

  1. Získejte certifikáty podepsané certifikační autoritou v jednotlivých souborech klíčů nebo v jednom souboru ve formátu PFX.
  2. Pokud jsou certifikáty podepsané certifikační autoritou v jednom souboru PFX, je možné extrahovat privátní klíč a certifikát podepsaný certifikační autoritou jako u nástroje OpenSSL (Windows nemusí mít nainstalovaný OpenSSL, lze jej nainstalovat samostatně).
POZNÁMKA: Při provádění tohoto postupu se ujistěte, že jste nahradili soubory .crt a .key úplnou cestou k souboru, včetně názvu certifikátu a odpovídajících souborů klíčů.
A. Ze souboru PFX extrahujte soukromý klíč a certifikát podepsaný certifikační autoritou.
Soukromý klíč: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certifikát CA: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Ověřte integritu server.key a server.crt.

POZNÁMKA: Ujistěte se, že výstup ukazuje stejnou hodnotu hash kontrolního součtu z těchto dvou výstupů. Pokud se liší, je problém. Pokud se shodují, pokračujte dalším krokem.
Soukromý klíč: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Certifikát CA: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Převeďte soukromý klíč, certifikát serveru podepsaný certifikační autoritou, kořenovou certifikační autoritu (a všechny zprostředkující certifikáty) do formátu PEM.

Soukromý klíč: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Serverový certifikát podepsaný certifikační autoritou: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Zkombinujte soubory server.key.pem a sever.crt.pem do souboru cakey.pem pro NMC. K tomu se doporučuje použít následující příkaz PowerShell: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Vypněte službu gst serveru NMC:
net stop gstd
  1. Vytvořte kopii původního souboru cakey.pem a na jeho místo umístěte kombinovaný soubor cakey.pem podepsaný certifikační autoritou:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
POZNÁMKA: Budete vyzváni k přepsání originálu. Přepište certifikát, protože existuje kopie originálu. Přepsáním originálu zajistíte, že vlastnictví souboru a oprávnění zůstanou zachovány.
  1. Vytvořte kopii souborů server.crt a server.key serveru NMC a poté nahraďte původní soubory podepsanými server.crt a server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Spusťte službu gst serveru NMC:
net start gstd
  1. Monitorujte, zda v adresáři C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw serveru NMC nedochází k chybám.

NetWorker: Jak pomocí technologie nsr_render_log vykreslit .raw soubor protokolu

Ověření:

Když je spuštěná služba gst serveru NMC, porovnejte otisk certifikátu podepsaného certifikační autoritou s otiskem prstu na servisním portu gst (9000) konzole NMC:

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

Otisk SHA256 těchto dvou příkazů by se měl shodovat.

Příklad:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

I poté, co byl certifikát podepsaný držitelem konzole NMC nahrazen certifikátem podepsaným certifikační autoritou, se může během připojování k serveru NMC ze spouštěče NMC zobrazit následující upozornění:

Certifikační autorita, která certifikát vystavila, není důvěryhodná

Klikněte na "View Certificate Details". Podrobnosti o certifikátu ověřují, zda je použit certifikát podepsaný certifikační autoritou. 

Upozornění se zobrazuje, protože v důvěryhodných kořenových certifikátech klienta NMC chybí podepsaný certifikát.
 

POZNÁMKA: Klient NMC je libovolný hostitel používaný pro přístup k konzoli NMC.

Toto upozornění lze ignorovat; volitelně může certifikát podepsaný certifikační autoritou serveru NMC také importovat do důvěryhodných kořenových certifikátů klienta NMC:

  1. Umístěte certifikát podepsaný certifikační autoritou serveru NMC (<server.crt>) na hostitele klienta NMC do složky podle vašeho výběru.
  2. Otevřete vlastnosti certifikátu podepsaného certifikační autoritou.
  3. Klikněte na možnost Instalovat certifikát.
  4. Vyberte možnost Místní počítač.
  5. Vyberte možnost Umístit všechny certifikáty do následujícího úložiště.
  6. Klikněte na tlačítko Procházet.
  7. Vyberte možnost Důvěryhodné kořenové certifikační autority a klikněte na tlačítko OK.
  8. Klikněte na tlačítko Další.
  9. Klikněte na tlačítko Finish.
  10. Zobrazí se zpráva s informací, že pokud se import nezdařil nebo byl úspěšný, klikněte na tlačítko OK.
  11. Ve vlastnostech certifikátu podepsaného certifikační autoritou klikněte na tlačítko OK.

Při příštím spuštění konzole NMC se upozornění zabezpečení nezobrazí.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.