NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para NMC

Summary: Estas instrucciones describen cómo reemplazar el certificado autofirmado predeterminado de NetWorker por un certificado firmado por una CA en un servidor de NetWorker Management Console (NMC). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Estas instrucciones describen cómo reemplazar el certificado autofirmado predeterminado de NetWorker por un certificado firmado por una CA para NetWorker Management Console (NMC). En este artículo de la base de conocimientos, se proporcionan instrucciones para los servidores NMC de Windows y Linux.

El proceso para reemplazar los certificados autofirmados de NetWorker Server Authentication Service (authc) y de la interfaz de usuario web de NetWorker (NWUI) por certificados firmados por CA se detalla en los siguientes artículos de la base de conocimientos específicos del sistema operativo:

Certificados involucrados:

  • <server>.csr: Solicitud de firma de certificado de NetWorker Management Console Server

  • <server>.key: Clave privada de NetWorker Management Console Server

  • <server>.crt: Certificado firmado por una CA del servidor de NetWorker Management Console

  • <CA>.crt: Certificado raíz de CA

  • <ICA>.crt: Certificado intermedio de CA (opcional si está disponible)

NOTA: Donde <server> es el nombre corto del servidor de NMC.

Antes de empezar:

En este proceso, se utiliza la utilidad OpenSSL. Esta utilidad se proporciona de forma predeterminada en los sistemas operativos Linux; sin embargo, no se incluye en los sistemas Windows. Consulte con el administrador del sistema sobre la instalación de OpenSSL. La versión requerida de OpenSSL difiere según la versión de NetWorker instalada.

  • NetWorker 19.8 y versiones anteriores requieren openssl versión 1.0.2
  • NetWorker 19.9 a 19.11 requiere openssl versión 1.1.1n 
NOTA: Los hosts Linux que utilizan NetWorker 19.12.0.0 son compatibles con OpenSSL 3.0.14. Windows aún requiere 1.1.1n.
PRECAUCIÓN: Si se utiliza la versión incorrecta de OpenSSL, el proceso GSTD de NMC no puede iniciar NetWorker: El servicio GST de NMC se inicia y, a continuación, se apaga inmediatamente después de reemplazar cakey.pem.


La versión de OpenSSL se puede identificar a continuación:

Linux: 
# openssl version
Windows:
  1. En el Explorador de archivos de Windows, vaya a la ubicación del openssl.exe. Esta ruta puede variar según la forma en que se instaló OpenSSL.
  2. Abra el archivo openssl.exe y vaya a la pestañaDetalles de datos. En el campo Versión del producto, se detalla la versión de OpenSSL:
Detalles de la versión de OpenSSL

Alternativamente, si la ruta del archivo openssl.exe es parte de la variable PATH del sistema, puede ejecutar el comando 'openssl version' desde un símbolo del sistema administrativo; De lo contrario, puede cambiar el directorio (CD) al directorio openssl.exe.

 

Genere un archivo de clave privada y de solicitud de firma de certificado (CSR) para proporcionar a la CA.

  1. En el servidor NMC, utilice la utilidad de línea de comandos OpenSSL para crear el archivo de clave privada del servidor de NetWorker (<server>.key) y archivo CSR (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Los archivos csr y key se pueden colocar en la ubicación que usted elija si C:\tmp no existe.
 
  1. Enviar el archivo CSR (<server>.csr) a la CA para generar el archivo de certificado firmado por la CA (<server>.crt). La CA debe proporcionar el archivo de certificado firmado por la CA (<server>.crt), el certificado raíz (<CA>.crt), y cualquier certificado de CA intermedio (<ICA>.crt).

Servidores de NetWorker Management Console (NMC) de Linux:

  1. Obtenga los certificados firmados por la CA en archivos de clave individuales o en un solo archivo en formato PFX.
  2. Si los certificados firmados por CA se encuentran en un solo archivo PFX, la clave privada y el certificado firmado por CA se pueden extraer como con la herramienta OpenSSL (es posible que Windows no tenga OpenSSL instalado; se puede instalar por separado).
NOTA: Cuando siga este proceso, asegúrese de reemplazar los archivos .crt y .key por la ruta de archivo completa, incluido el nombre de archivo del certificado y los archivos de clave según corresponda.
R. Extraiga la clave privada y el certificado firmado por una CA del archivo PFX.
Clave privada: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certificación CA: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Verifique la integridad del server.key y server.crt.

NOTA: Asegúrese de que la salida muestre el mismo hash de suma de comprobación de estas dos salidas. Si son diferentes, hay un problema. Si son iguales, vaya al paso siguiente.
Clave privada: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Certificación CA: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Convierta la clave privada, el certificado del servidor firmado por una CA, la CA raíz (y cualquier certificado intermedio) al formato PEM.

Clave privada: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Certificado de servidor firmado por una CA: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Certificado de CA raíz: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Certificado de CA intermedio (si está disponible): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Combine el archivo server.key.pem, el CA.crt raíz, el certificado intermedio (si está disponible) y el certificado del servidor firmado en el archivo cakey.pem para NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Apague el servicio gst del servidor NMC:
# systemctl stop gst
  1. Haga una copia del archivo cakey.pem existente y, a continuación, reemplace el archivo predeterminado por el que creó en el paso 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Haga una copia de los archivos server.crt y server.key del servidor de NMC y, a continuación, reemplace los archivos originales por el server.crt firmado y server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
NOTA: Puede revertir a las copias de respaldo de cualquier problema que se observe. El uso del comando copy para sobrescribir los originales garantiza que los archivos conserven la propiedad y los permisos correctos. Estos archivos deben ser propiedad de la cuenta de servicio de NMC predeterminada (nsrnmc) con 600 permisos.
  1. Inicie el servicio gst del servidor NMC:
# systemctl start gst
  1. Monitoree / opt/lgtonmc/logs/gstd.raw del servidor NMC para detectar errores.

NetWorker: Cómo usar nsr_render_log para representar .raw archivo de registro

Verificación:

Cuando el servicio gst del servidor de NMC esté en ejecución, compare la huella digital del certificado firmado por la CA con la huella digital del certificado del puerto de servicio gst de NMC (9000):

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

La huella digital SHA256 de estos dos comandos debe coincidir.

Ejemplo:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Servidores de NetWorker Management Console (NMC) de Windows:

  1. Obtenga los certificados firmados por la CA en archivos de clave individuales o en un solo archivo en formato PFX.
  2. Si los certificados firmados por CA se encuentran en un solo archivo PFX, la clave privada y el certificado firmado por CA se pueden extraer como con la herramienta OpenSSL (es posible que Windows no tenga OpenSSL instalado; se puede instalar por separado).
NOTA: Cuando siga este proceso, asegúrese de reemplazar los archivos .crt y .key por la ruta de archivo completa, incluido el nombre de archivo del certificado y los archivos de clave según corresponda.
R. Extraiga la clave privada y el certificado firmado por una CA del archivo PFX.
Clave privada: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certificación CA: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Verifique la integridad del server.key y server.crt.

NOTA: Asegúrese de que la salida muestre el mismo hash de suma de comprobación de estas dos salidas. Si son diferentes, hay un problema. Si son iguales, vaya al paso siguiente.
Clave privada: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Certificación CA: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Convierta la clave privada, el certificado del servidor firmado por una CA, la CA raíz (y cualquier certificado intermedio) al formato PEM.

Clave privada: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Certificado de servidor firmado por una CA: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Combine server.key.pem y sever.crt.pem en el archivo cakey.pem para NMC. Se recomienda utilizar el siguiente comando de PowerShell para esto: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Apague el servicio gst del servidor NMC:
net stop gstd
  1. Haga una copia del archivo cakey.pem original y, a continuación, coloque el archivo cakey.pem firmado por una CA combinada en su lugar:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
NOTA: Se le solicitará que sobrescriba el original. Sobrescribir el certificado, ya que hay una copia del original. Sobrescribir el original garantiza que se conserven la propiedad y los permisos del archivo.
  1. Haga una copia de los archivos server.crt y server.key del servidor de NMC y, a continuación, reemplace los archivos originales por el server.crt firmado y server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Inicie el servicio gst del servidor NMC:
net start gstd
  1. Monitoree C :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw del servidor NMC para detectar errores.

NetWorker: Cómo usar nsr_render_log para representar .raw archivo de registro

Verificación:

Cuando el servicio gst del servidor de NMC esté en ejecución, compare la huella digital del certificado firmado por la CA con la huella digital del certificado del puerto de servicio gst de NMC (9000):

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

La huella digital SHA256 de estos dos comandos debe coincidir.

Ejemplo:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Incluso después de reemplazar el certificado autofirmado de NMC por un certificado firmado por una CA, es posible que vea la siguiente advertencia durante la conexión a un servidor de NMC desde el iniciador de NMC:

La autoridad de certificación que emitió el certificado no es de confianza

Haga clic en "View Certificate Details". Los detalles del certificado validan que se utilice el certificado firmado por una CA. 

La advertencia aparece porque falta el certificado firmado en los certificados raíz de confianza del cliente NMC.
 

NOTA: Un cliente de NMC es cualquier host que se utiliza para acceder a NMC.

Esta advertencia se puede ignorar; De manera opcional, el certificado firmado por CA del servidor de NMC también se puede importar a los certificados raíz de confianza del cliente de NMC:

  1. Coloque el certificado firmado por CA del servidor de NMC (<server.crt>) en el host del cliente de NMC en una carpeta de su elección.
  2. Abra las propiedades del certificado firmado por una CA.
  3. Haga clic en Instalar certificado.
  4. Seleccione Local Machine.
  5. Seleccione Place all certificates in the following store.
  6. Haga clic en Examinar.
  7. Seleccione Autoridades de certificación raíz de confianza y, a continuación, haga clic en Aceptar.
  8. Haga clic en Siguiente.
  9. Haga clic en Finalizar.
  10. Aparece un mensaje que indica si la importación falló o se realizó correctamente. Haga clic en OK.
  11. En las propiedades del certificado firmado por una CA, haga clic en Aceptar.

Durante el próximo inicio de NMC, la advertencia de seguridad no aparece.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.