NetWorker: Importieren oder Ersetzen von von Zertifizierungsstellen signierten Zertifikaten für NMC

Summary: In diesen Anweisungen wird beschrieben, wie Sie das standardmäßige selbstsignierte NetWorker-Zertifikat auf einem NetWorker Management Console-Server (NMC) durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In diesen Anweisungen wird beschrieben, wie Sie das selbstsignierte NetWorker-Standardzertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat für die NetWorker Management Console (NMC) ersetzen. Dieser Wissensdatenbank-Artikel enthält Anweisungen für Windows- und Linux-NMC-Server.

Der Prozess zum Ersetzen der selbstsignierten Zertifikate des NetWorker-Serverauthentifizierungsservice (authc) und der NetWorker Web User Interface (NWUI) durch CA-signierte Zertifikate wird in den folgenden betriebssystemspezifischen Wissensdatenbanken ausführlich beschrieben:

Beteiligte Zertifikate:

  • <server>.csr: Signierungsanforderung für NetWorker Management Console-Serverzertifikat

  • <server>.key: Privater Schlüssel für den NetWorker Management Console-Server

  • <server>.crt: CA-signiertes Zertifikat des NetWorker Management Console-Servers

  • <CA>.crt: CA-Stammzertifikat

  • <ICA>.crt: CA-Zwischenzertifikat (optional, wenn verfügbar)

HINWEIS: Hierbei <ist server> der Kurzname des NMC-Servers.

Bevor Sie beginnen:

Dieser Prozess verwendet das OpenSSL-Dienstprogramm. Dieses Dienstprogramm wird standardmäßig auf Linux-Betriebssystemen bereitgestellt. ist jedoch auf Windows-Systemen nicht enthalten. Wenden Sie sich bezüglich der Installation von OpenSSL an den Systemadministrator. Die erforderliche Version von OpenSSL unterscheidet sich je nach installierter NetWorker-Version.

  • NetWorker 19.8 und früher erfordert OpenSSL-Version 1.0.2
  • NetWorker 19.9 bis 19.11 erfordert OpenSSL-Version 1.1.1n 
HINWEIS: Linux-Hosts, die NetWorker 19.12.0.0 verwenden, unterstützen OpenSSL 3.0.14. Für Windows ist weiterhin 1.1.1n erforderlich.
WARNUNG: Wenn die falsche Version von OpenSSL verwendet wird, kann der GSTD-Prozess von NMC NetWorker nicht starten: Der NMC-GST-Service wird gestartet und nach dem Ersetzen von cakey.pem sofort heruntergefahren.


Die OpenSSL-Version kann wie folgt identifiziert werden:

Linux: 
# openssl version
Windows:
  1. Navigieren Sie im Windows-Datei-Explorer zum openssl.exe-Speicherort. Dieser Pfad kann unterschiedlich sein, je nachdem, wie OpenSSL installiert wurde.
  2. Öffnen Sie die openssl.exe Datei und gehen Sie zur RegisterkarteD etails . Im Feld Product Version wird die OpenSSL-Version aufgeführt:
OpenSSL-Versionsdetails

Alternativ, wenn der openssl.exe Dateipfad Teil der System-PATH-Variablen ist, können Sie den Befehl "openssl version" über die administrative Eingabeaufforderung ausführen. Andernfalls können Sie das Verzeichnis (cd) in das openssl.exe Verzeichnis ändern.

 

Erzeugen Sie einen privaten Schlüssel und eine CSR-Datei (Certificate Signing Request), die Sie Ihrer Zertifizierungsstelle zur Verfügung stellen.

  1. Verwenden Sie auf dem NMC-Server das OpenSSL-Befehlszeilendienstprogramm, um die private Schlüsseldatei des NetWorker-Servers (<server>.key) und CSR-Datei (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Die CSR- und Schlüsseldateien können an einem Speicherort Ihrer Wahl abgelegt werden, wenn C:\tmp nicht vorhanden ist.
 
  1. Senden Sie die CSR-Datei (<server>.csr) an die CA, um die von der CA signierte Zertifikatdatei (<server>.crt). Die Zertifizierungsstelle sollte die von der Zertifizierungsstelle signierte Zertifikatdatei (<server>.crt), das Stammzertifikat (<CA>.crt) und alle CA-Zwischenzertifikate (<ICA>.crt).

Linux NMC-Server (NetWorker Management Console):

  1. Rufen Sie die von der Zertifizierungsstelle signierten Zertifikate in einzelnen Schlüsseldateien oder in einer einzelnen Datei im PFX-Format ab.
  2. Wenn sich die CA-signierten Zertifikate in einer einzigen PFX-Datei befinden, können der private Schlüssel und das CA-signierte Zertifikat wie mit dem OpenSSL-Tool extrahiert werden (unter Windows ist OpenSSL möglicherweise nicht installiert, es kann separat installiert werden).
HINWEIS: Wenn Sie diesen Prozess ausführen, stellen Sie sicher, dass Sie die .crt- und .key-Dateien durch den vollständigen Dateipfad ersetzen, einschließlich des Dateinamens Ihres Zertifikats und der Schlüsseldateien entsprechend.
A. Extrahieren Sie den privaten Schlüssel und das von der Zertifizierungsstelle signierte Zertifikat aus der PFX-Datei.
Privater Schlüssel: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-Zertifikat: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Überprüfen Sie die Integrität der server.key und der server.crt-Datei.

HINWEIS: Stellen Sie sicher, dass die Ausgabe denselben Prüfsummen-Hash von diesen beiden Ausgaben anzeigt. Wenn sie unterschiedlich sind, liegt ein Problem vor. Wenn sie identisch sind, fahren Sie mit dem nächsten Schritt fort.
Privater Schlüssel: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA-Zertifikat: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Konvertieren Sie den privaten Schlüssel, das von der Zertifizierungsstelle signierte Serverzertifikat, die Stammzertifizierungsstelle (und alle Zwischenzertifikate) in das PEM-Format.

Privater Schlüssel: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA-signiertes Serverzertifikat: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Stammzertifizierungsstellenzertifikat: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
CA-Zwischenzertifikat (falls verfügbar): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Kombinieren Sie die Datei server.key.pem, die Stamm-CA.crt, das Zwischenzertifikat (falls verfügbar) und das signierte Serverzertifikat in der Datei cakey.pem für NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Fahren Sie den gst-Service des NMC-Servers herunter:
# systemctl stop gst
  1. Erstellen Sie eine Kopie der vorhandenen cakey.pem-Datei und ersetzen Sie dann die Standarddatei durch die in Schritt 2, D erstellte.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Erstellen Sie eine Kopie der Dateien server.crt und server.key des NMC-Servers, ersetzen Sie dann die Originaldateien durch die signierte server.crt und server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
HINWEIS: Sie können die Sicherungskopien von festgestellten Problemen wiederherstellen. Durch die Verwendung des Kopierbefehls zum Überschreiben der Originale wird sichergestellt, dass die Dateien die richtigen Eigentumsrechte und Berechtigungen behalten. Diese Dateien müssen Eigentum des standardmäßigen NMC-Servicekontos (nsrnmc) mit 600 Berechtigungen sein.
  1. Starten Sie den gst-Service des NMC-Servers:
# systemctl start gst
  1. Überwachen Sie die /opt/lgtonmc/logs/gstd.raw des NMC-Servers auf Fehler.

NetWorker: So verwenden Sie nsr_render_log zum Rendern .raw Protokolldatei

Überprüfung:

Wenn der gst-Service des NMC-Servers ausgeführt wird, vergleichen Sie den Fingerabdruck des von der Zertifizierungsstelle signierten Zertifikats mit dem Fingerabdruck des gst-Serviceports (9000) der NMC:

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

Der SHA256-Fingerabdruck dieser beiden Befehle sollte übereinstimmen.

Beispiel:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Windows NMC-Server (NetWorker Management Console):

  1. Rufen Sie die von der Zertifizierungsstelle signierten Zertifikate in einzelnen Schlüsseldateien oder in einer einzelnen Datei im PFX-Format ab.
  2. Wenn sich die CA-signierten Zertifikate in einer einzigen PFX-Datei befinden, können der private Schlüssel und das CA-signierte Zertifikat wie mit dem OpenSSL-Tool extrahiert werden (unter Windows ist OpenSSL möglicherweise nicht installiert, es kann separat installiert werden).
HINWEIS: Wenn Sie diesen Prozess ausführen, stellen Sie sicher, dass Sie die .crt- und .key-Dateien durch den vollständigen Dateipfad ersetzen, einschließlich des Dateinamens Ihres Zertifikats und der Schlüsseldateien entsprechend.
A. Extrahieren Sie den privaten Schlüssel und das von der Zertifizierungsstelle signierte Zertifikat aus der PFX-Datei.
Privater Schlüssel: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-Zertifikat: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Überprüfen Sie die Integrität der server.key und der server.crt-Datei.

HINWEIS: Stellen Sie sicher, dass die Ausgabe denselben Prüfsummen-Hash von diesen beiden Ausgaben anzeigt. Wenn sie unterschiedlich sind, liegt ein Problem vor. Wenn sie identisch sind, fahren Sie mit dem nächsten Schritt fort.
Privater Schlüssel: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA-Zertifikat: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Konvertieren Sie den privaten Schlüssel, das von der Zertifizierungsstelle signierte Serverzertifikat, die Stammzertifizierungsstelle (und alle Zwischenzertifikate) in das PEM-Format.

Privater Schlüssel: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA-signiertes Serverzertifikat: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Kombinieren Sie die Dateien server.key.pem und sever.crt.pem in der Datei cakey.pem für NMC. Es wird empfohlen, hierfür den folgenden PowerShell-Befehl zu verwenden: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Fahren Sie den gst-Service des NMC-Servers herunter:
net stop gstd
  1. Erstellen Sie eine Kopie der ursprünglichen cakey.pem-Datei und platzieren Sie dann die kombinierte CA-signierte cakey.pem an ihrer Stelle:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
HINWEIS: Sie werden aufgefordert, das Original zu überschreiben. Überschreiben Sie das Zertifikat, da es eine Kopie des Originals gibt. Durch das Überschreiben des Originals wird sichergestellt, dass die Dateieigentumsrechte und -berechtigungen beibehalten werden.
  1. Erstellen Sie eine Kopie der Dateien server.crt und server.key des NMC-Servers, ersetzen Sie dann die Originaldateien durch die signierte server.crt und server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Starten Sie den gst-Service des NMC-Servers:
net start gstd
  1. Überwachen Sie C :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw des NMC-Servers auf Fehler.

NetWorker: So verwenden Sie nsr_render_log zum Rendern .raw Protokolldatei

Überprüfung:

Wenn der gst-Service des NMC-Servers ausgeführt wird, vergleichen Sie den Fingerabdruck des von der Zertifizierungsstelle signierten Zertifikats mit dem Fingerabdruck des gst-Serviceports (9000) der NMC:

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

Der SHA256-Fingerabdruck dieser beiden Befehle sollte übereinstimmen.

Beispiel:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Auch nachdem das selbstsignierte NMC-Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzt wurde, wird möglicherweise die folgende Warnung während der Verbindung zu einem NMC-Server über das NMC-Startprogramm angezeigt:

Die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, ist nicht vertrauenswürdig.

Klicken Sie auf "View Certificate Details". Die Zertifikatdetails bestätigen, dass das von der Zertifizierungsstelle signierte Zertifikat verwendet wird. 

Die Warnung wird angezeigt, weil das signierte Zertifikat in den vertrauenswürdigen Stammzertifikaten des NMC-Clients fehlt.
 

HINWEIS: Ein NMC-Client ist ein beliebiger Host, der für den Zugriff auf NMC verwendet wird.

Diese Warnung kann ignoriert werden. Optional kann das CA-signierte Zertifikat des NMC-Servers auch in die vertrauenswürdigen Stammzertifikate des NMC-Clients importiert werden:

  1. Legen Sie das CA-signierte Zertifikat (<server.crt>) des NMC-Servers auf dem NMC-Clienthost in einem Ordner Ihrer Wahl ab.
  2. Öffnen Sie die Eigenschaften des von der Zertifizierungsstelle signierten Zertifikats.
  3. Klicken Sie auf Zertifikat installieren.
  4. Wählen Sie Local Machine aus.
  5. Wählen Sie Alle Zertifikate im folgenden Speicher speichern aus.
  6. Klicken Sie auf Durchsuchen.
  7. Wählen Sie Vertrauenswürdige Stammzertifizierungsstellen aus und klicken Sie dann auf OK.
  8. Klicken Sie auf Next (Weiter).
  9. Klicken Sie auf Finish (Fertig stellen).
  10. Eine Meldung wird angezeigt: Wenn der Import fehlgeschlagen ist oder erfolgreich war, klicken Sie auf OK.
  11. Klicken Sie in den Eigenschaften des von der Zertifizierungsstelle signierten Zertifikats auf OK.

Beim nächsten Start von NMC wird die Sicherheitswarnung nicht angezeigt.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.