NetWorker: Come importare o sostituire i certificati firmati dall'autorità di certificazione per NMC

Summary: Queste istruzioni descrivono come sostituire il certificato autofirmato NetWorker predefinito con un certificato firmato dalla CA su un server NetWorker Management Console (NMC).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Queste istruzioni descrivono come sostituire il certificato autofirmato NetWorker predefinito con un certificato firmato dalla CA per NetWorker Management Console (NMC). Questo articolo della Knowledge Base fornisce istruzioni per i server NMC Windows e Linux.

Il processo di sostituzione dei certificati autofirmati NetWorker Server Authentication Service (authc) e NetWorker Web User Interface (NWUI) con certificati firmati dalla CA è descritto in dettaglio nei seguenti articoli della KB specifici del sistema operativo:

Certificati coinvolti:

  • <server>.csr: Richiesta di firma del certificato del server NetWorker Management Console

  • <server>.key: Chiave privata del server NetWorker Management Console

  • <server>.crt: Certificato firmato dalla CA del server NetWorker Management Console

  • <CA>.crt: certificato radice della CA

  • <ICA>.crt: certificato intermedio della CA (opzionale se disponibile)

NOTA: Dove <server> è il nome breve del server NMC.

Prima di iniziare:

Questo processo utilizza l'utilità OpenSSL. Questa utilità viene fornita per impostazione predefinita sui sistemi operativi Linux; tuttavia, non è incluso nei sistemi Windows. Consultare l'amministratore di sistema per informazioni sull'installazione di OpenSSL. La versione richiesta di OpenSSL varia a seconda della versione di NetWorker installata.

  • NetWorker 19.8 e versioni precedenti richiedono openssl versione 1.0.2
  • NetWorker da 19.9 a 19.11 richiedono openssl versione 1.1.1n 
NOTA: Gli host Linux che utilizzano NetWorker 19.12.0.0 supportano OpenSSL 3.0.14. Windows richiede ancora 1.1.1n.
AVVERTENZA: Se si utilizza la versione errata di OpenSSL, il processo GSTD di NMC non riesce ad avviare NetWorker: Il servizio NMC GST si avvia, quindi si arresta immediatamente dopo la sostituzione di cakey.pem.


La versione di OpenSSL può essere identificata come segue:

Linux: 
# openssl version
Windows:
  1. Da Esplora file di Windows, accedere al percorso openssl.exe. Questo percorso può variare a seconda di come è stato installato OpenSSL.
  2. Aprire il file openssl.exe e passare alla schedaDettagli . Il campo Product Version descrive in dettaglio la versione di OpenSSL:
Dettagli sulla versione di OpenSSL

In alternativa, se il percorso del file openssl.exe fa parte della variabile PATH del sistema, è possibile eseguire il comando 'openssl version' da e dal prompt dei comandi amministrativi; In caso contrario, è possibile modificare la directory (CD) nella directory openssl.exe.

 

Generare una chiave privata e un file CSR (richiesta di firma del certificato) da fornire alla CA.

  1. Sul server NMC, utilizzare l'utilità della riga di comando OpenSSL per creare il file della chiave privata del server NetWorker (<server>.key) e il file CSR (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
I file CSR e chiave possono essere inseriti in una posizione a scelta dell'utente se C:\tmp non esiste.
 
  1. Inviare il file CSR (<server>.csr) alla CA per generare il file di certificato firmato dalla CA (<server>.crt). La CA deve fornire il file di certificato firmato dalla CA (<server>.crt), il certificato radice (<CA>.crt) ed eventuali certificati CA intermedi (<ICA>.crt).

Server NetWorker Management Console (NMC) per Linux:

  1. Ottenere i certificati firmati dalla CA in singoli file di chiave o in un singolo file in formato PFX.
  2. Se i certificati firmati dalla CA si trovano in un singolo file PFX, la chiave privata e il certificato firmato dalla CA possono essere estratti come con lo strumento OpenSSL (Windows potrebbe non avere OpenSSL installato, può essere installato separatamente).
NOTA: Quando si segue questo processo, accertarsi di sostituire i file .crt e .key con il percorso file completo, inclusi il nome file del certificato e i file chiave.
A. Estrarre la chiave privata e il certificato firmato dalla CA dal file PFX.
Chiave privata: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certificato CA: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Verificare l'integrità del server.key e del file server.crt.

NOTA: Assicurarsi che l'output mostri lo stesso hash di checksum di questi due output. Se sono diversi, c'è un problema. Se sono uguali, andare al passaggio successivo.
Chiave privata: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Certificato CA: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Convertire la chiave privata, il certificato del server firmato dalla CA, la CA radice (ed eventuali certificati intermedi) in formato PEM.

Chiave privata: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Certificato server firmato dalla CA: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Certificato CA radice: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Certificato CA intermedio (se disponibile): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Combinare il certificato server.key.pem, il CA.crt radice, il certificato intermedio (se disponibile) e il certificato del server firmato nel file cakey.pem per NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Arrestare il servizio gst del server NMC:
# systemctl stop gst
  1. Creare una copia del file cakey.pem esistente, quindi sostituire il file predefinito con quello creato nel passaggio 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Creare una copia dei file server.crt e server.key del server NMC, quindi sostituire i file originali con il file server.crt firmato e server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
NOTA: È possibile ripristinare le copie di backup di eventuali problemi osservati. L'utilizzo del comando copia per sovrascrivere gli originali garantisce che i file mantengano la proprietà e le autorizzazioni corrette. Questi file devono essere di proprietà dell'account di servizio NMC predefinito (nsrnmc) con 600 autorizzazioni.
  1. Avviare il servizio gst del server NMC:
# systemctl start gst
  1. Monitorare il file /opt/lgtonmc/logs/gstd.raw del server NMC per individuare eventuali errori.

NetWorker: Come utilizzare nsr_render_log per eseguire il rendering .raw file di log

Verifica:

Quando il servizio gst del server NMC è in esecuzione, confrontare l'impronta digitale del certificato firmato dalla CA con l'impronta digitale del certificato della porta del servizio gst di NMC (9000):

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

L'impronta digitale SHA256 di questi due comandi deve corrispondere.

Esempio:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Server Windows NetWorker Management Console (NMC):

  1. Ottenere i certificati firmati dalla CA in singoli file di chiave o in un singolo file in formato PFX.
  2. Se i certificati firmati dalla CA si trovano in un singolo file PFX, la chiave privata e il certificato firmato dalla CA possono essere estratti come con lo strumento OpenSSL (Windows potrebbe non avere OpenSSL installato, può essere installato separatamente).
NOTA: Quando si segue questo processo, accertarsi di sostituire i file .crt e .key con il percorso file completo, inclusi il nome file del certificato e i file chiave.
A. Estrarre la chiave privata e il certificato firmato dalla CA dal file PFX.
Chiave privata: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certificato CA: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Verificare l'integrità del server.key e del file server.crt.

NOTA: Assicurarsi che l'output mostri lo stesso hash di checksum di questi due output. Se sono diversi, c'è un problema. Se sono uguali, andare al passaggio successivo.
Chiave privata: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Certificato CA: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Convertire la chiave privata, il certificato del server firmato dalla CA, la CA radice (ed eventuali certificati intermedi) in formato PEM.

Chiave privata: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Certificato server firmato dalla CA: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Combinare server.key.pem e sever.crt.pem nel file cakey.pem per NMC. A tale scopo si consiglia di utilizzare il seguente comando PowerShell: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Arrestare il servizio gst del server NMC:
net stop gstd
  1. Creare una copia del file cakey.pem originale, quindi posizionare il file cakey.pem firmato dalla CA combinato:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
NOTA: Viene richiesto di sovrascrivere l'originale. Sovrascrivere il certificato in quanto è presente una copia dell'originale. La sovrascrittura dell'originale garantisce che la proprietà e le autorizzazioni del file vengano mantenute.
  1. Creare una copia dei file server.crt e server.key del server NMC, quindi sostituire i file originali con il file server.crt firmato e server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Avviare il servizio gst del server NMC:
net start gstd
  1. Monitorare C :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw del server NMC per rilevare eventuali errori.

NetWorker: Come utilizzare nsr_render_log per eseguire il rendering .raw file di log

Verifica:

Quando il servizio gst del server NMC è in esecuzione, confrontare l'impronta digitale del certificato firmato dalla CA con l'impronta digitale del certificato della porta del servizio gst di NMC (9000):

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

L'impronta digitale SHA256 di questi due comandi deve corrispondere.

Esempio:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Anche dopo che il certificato autofirmato di NMC è stato sostituito con un certificato firmato dalla CA, è possibile che venga visualizzato il seguente avviso durante la connessione a un server NMC dal launcher di NMC:

La CA che ha emesso il certificato non è attendibile

Cliccare su "View Certificate Details". I dettagli del certificato confermano che viene utilizzato il certificato firmato dalla CA. 

L'avviso viene visualizzato perché il certificato firmato non è presente nei certificati radice attendibili del client NMC.
 

NOTA: Un client NMC è un host qualsiasi utilizzato per accedere a NMC.

Questa avvertenza può essere ignorata; Facoltativamente, il certificato firmato dalla CA del server NMC può anche essere importato nei certificati radice attendibili del client NMC:

  1. Inserire il certificato firmato dalla CA del server NMC (<server.crt>) sull host client NMC in una cartella di propria scelta.
  2. Aprire le proprietà del certificato firmato dall'autorità di certificazione.
  3. Cliccare su Install Certificate.
  4. Selezionare Computer locale.
  5. Selezionare Inserisci tutti i certificati nel seguente archivio.
  6. Cliccare su Browse.
  7. Selezionare Autorità di certificazione radice attendibili, quindi fare clic su OK.
  8. Cliccare su Next (Avanti).
  9. Cliccare su Finish.
  10. Viene visualizzato un messaggio che indica se l'importazione non è riuscita o è stata eseguita correttamente. Cliccare su OK.
  11. Nelle proprietà del certificato firmato dall'autorità di certificazione cliccare su OK.

Al successivo avvio di NMC, l'avviso di sicurezza non viene visualizzato.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.