NetWorker:NMCの認証局署名済み証明書をインポートまたは置換する方法

Summary: これらの手順では、NMC(NetWorker管理コンソール)サーバー上のデフォルトのNetWorker自己署名証明書をCA署名証明書に置き換える方法について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

以下の手順では、デフォルトのNetWorker自己署名証明書をNetWorker管理コンソール(NMC)のCA署名証明書に置き換える方法について説明します。このKBでは、WindowsとLinuxの両方のNMCサーバーの手順について説明します。

NetWorkerサーバー認証サービス(authc)およびNetWorker Webユーザー インターフェイス(NWUI)の自己署名証明書をCA署名証明書に置き換えるプロセスの詳細については、次のオペレーティング システム固有のKBを参照してください。

関連する証明書:

  • <サーバー>.csr:NetWorker管理コンソール サーバーの証明書署名要求

  • <サーバー>.key:NetWorker管理コンソール サーバーのプライベート キー

  • <server>.crt:NetWorker管理コンソール サーバーのCA署名証明書

  • <CA>.crt:CAルート証明書

  • <ICA>.crt:CA中間証明書(使用可能な場合はオプション)

メモ: ここで <server> はNMCサーバの短い名前です。

開始する前に、次の操作を行います。

このプロセスでは、OpenSSLユーティリティーを使用します。このユーティリティーは、Linux オペレーティング・システム上でデフォルトで提供されています。ただし、Windowsシステムには含まれません。OpenSSLのインストールについては、システム管理者に問い合わせてください。インストールされているNetWorkerのバージョンに応じて、必要なOpenSSLのバージョンが異なります。

  • NetWorker 19.8以前では、opensslバージョン1.0.2が必要
  • NetWorker 19.9から19.11にはOpenSSLバージョン1.1.1nが必要 
メモ: NetWorker 19.12.0.0を使用するLinuxホストは、OpenSSL 3.0.14をサポートします。Windows には 1.1.1n が必要です。
警告:間違ったバージョンのOpenSSLが使用されている場合、NMCのGSTDプロセスはNetWorkerの起動に失敗します。NMC GSTサービスが開始され、cakey.pemを置き換えるとすぐにシャットダウンします


OpenSSLのバージョンは、次の方法で識別できます。

Linuxの場合 
# openssl version
Windowsの場合:
  1. Windowsエクスプローラーから、openssl.exeの場所に移動します。このパスは、OpenSSLのインストール方法によって異なる場合があります。
  2. openssl.exeファイルを開き、[Dell]タブに移動します。[Product Version]フィールドには、OpenSSLのバージョンの詳細が表示されます。
OpenSSLバージョンの詳細

または、openssl.exeファイル パスがシステムのPATH変数の一部である場合は、および管理コマンド プロンプトから「opensslバージョン」コマンドを実行できます。それ以外の場合は、ディレクトリーをopenssl.exeディレクトリーに変更(cd)できます。

 

CAに提供するプライベート キーと証明書署名要求(CSR)ファイルを生成します。

  1. NMCサーバーで、OpenSSLコマンド ライン ユーティリティーを使用して、NetWorkerサーバーのプライベート キー ファイル(<server>.key)とCSRファイル(<server>.csr)をリロードします。
    Linuxの場合
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windowsの場合:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
C:\tmp が存在しない場合は、csr ファイルとキーファイルを任意の場所に配置できます。
 
  1. CSRファイル(<server>.csr)をCAに送信して、CA署名付き証明書ファイル(<server>.crt)をリロードします。CA は、CA 署名付き証明書ファイル (<server>.crt)、ルート証明書 (<CA>.crt)、中間 CA 証明書 (<ICA>.crt)をリロードします。

Linux NetWorker管理コンソール(NMC)サーバー:

  1. CA 署名済み証明書を、個々のキー ファイルまたは PFX 形式の 1 つのファイルで取得します。
  2. CA署名済み証明書が1つのPFXファイル内にある場合は、OpenSSLツールと同様に、プライベート キーとCA署名済み証明書を抽出できます(WindowsにOpenSSLがインストールされていない可能性があるため、個別にインストールできます)。
メモ: このプロセスに従う場合は、.crtファイルと.keyファイルを、証明書とキー ファイルのファイル名を含む完全なファイル パスに置き換えてください。
A. PFX ファイルから秘密キーと CA 署名付き証明書を抽出します。
プライベート キー: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA証明書: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. server.keyとserver.crtの整合性を確認します。

メモ: 出力に、これら2つの出力からの同じChecksumハッシュが表示されていることを確認します。異なる場合は、問題があります。同じ場合は、次の手順に進みます。
プライベート キー: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA証明書: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. プライベート キー、CA 署名済みサーバ証明書、ルート CA (および中間証明書) を PEM 形式に変換します。

プライベート キー: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA署名済みサーバー証明書: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
ルートCA証明書: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
中間CA証明書(利用可能な場合): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. server.key.pem、ルートCA.crt、中間証明書(利用可能な場合)、署名済みサーバー証明書をNMCのcakey.pemファイルに結合します。 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. NMCサーバーのgstサービスをシャットダウンします。
# systemctl stop gst
  1. 既存のcakey.pemファイルのコピーを作成し、デフォルトのファイルをステップ2のDで作成したファイルに置き換えます。
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. NMCサーバーのserver.crtファイルとserver.keyファイルのコピーを作成し、元のファイルを署名されたserver.crtとserver.keyで置き換えます。
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
メモ: 観察された問題のバックアップ コピーに戻すことができます。copyコマンドを使用して元のファイルを上書きすると、ファイルの所有権と権限が正しいままになります。これらのファイルは、600の権限を持つデフォルトのNMCサービス アカウント(nsrnmc)が所有している必要があります。
  1. NMCサーバーのgstサービスを開始します。
# systemctl start gst
  1. NMCサーバーの /opt/lgtonmc/logs/gstd.raw にエラーがないか監視します。

NetWorker:nsr_render_logを使用してログ ファイルをレンダリングする方法.raw

確認:

NMCサーバーのgstサービスが実行されている場合は、CA署名済み証明書のフィンガープリントとNMCのgstサービス ポート(9000)の証明書フィンガープリントを比較します。

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

これら2つのコマンドのSHA256フィンガープリントは一致する必要があります。

Example:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Windows NetWorker管理コンソール(NMC)サーバー:

  1. CA 署名済み証明書を、個々のキー ファイルまたは PFX 形式の 1 つのファイルで取得します。
  2. CA署名済み証明書が1つのPFXファイル内にある場合は、OpenSSLツールと同様に、プライベート キーとCA署名済み証明書を抽出できます(WindowsにOpenSSLがインストールされていない可能性があるため、個別にインストールできます)。
メモ: このプロセスに従う場合は、.crtファイルと.keyファイルを、証明書とキー ファイルのファイル名を含む完全なファイル パスに置き換えてください。
A. PFX ファイルから秘密キーと CA 署名付き証明書を抽出します。
プライベート キー: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA証明書: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. server.keyとserver.crtの整合性を確認します。

メモ: 出力に、これら2つの出力からの同じChecksumハッシュが表示されていることを確認します。異なる場合は、問題があります。同じ場合は、次の手順に進みます。
プライベート キー: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA証明書: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. プライベート キー、CA 署名済みサーバ証明書、ルート CA (および中間証明書) を PEM 形式に変換します。

プライベート キー: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA署名済みサーバー証明書: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. server.key.pemとsever.crt.pemをNMCのcakey.pemファイルに結合します。これには、次の PowerShell コマンドを使用することをお勧めします。 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. NMCサーバーのgstサービスをシャットダウンします。
net stop gstd
  1. 元の cakey.pem のコピーを作成し、結合された CA 署名の cakey.pem をその場所に配置します。
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
メモ: 元のファイルを上書きするように求められます。証明書の原本のコピーがあるため、証明書を上書きします。元のファイルを上書きすると、ファイルの所有権と権限が保持されます。
  1. NMCサーバーのserver.crtファイルとserver.keyファイルのコピーを作成し、元のファイルを署名されたserver.crtとserver.keyで置き換えます。
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. NMCサーバーのgstサービスを開始します。
net start gstd
  1. NMCサーバーの C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw にエラーがないか監視します。

NetWorker:nsr_render_logを使用してログ ファイルをレンダリングする方法.raw

確認:

NMCサーバーのgstサービスが実行されている場合は、CA署名済み証明書のフィンガープリントとNMCのgstサービス ポート(9000)の証明書フィンガープリントを比較します。

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

これら2つのコマンドのSHA256フィンガープリントは一致する必要があります。

Example:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

NMCの自己署名証明書をCA署名付き証明書に置き換えた後でも、NMCランチャーからNMCサーバーへの接続中に次の警告が表示されることがあります。

証明書を発行した認証局が信頼されていない

[View Certificate Details]をクリックします。証明書の詳細によって、CA署名済み証明書が使用されていることが検証されます。 

NMCクライアントの信頼されたルート証明書に署名済み証明書がないため、警告が表示されます。
 

メモ: NMCクライアントは、NMCへのアクセスに使用される任意のホストです。

この警告は無視してかまいません。必要に応じて、NMCサーバーのCA署名済み証明書をNMCクライアントの信頼されたルート証明書にインポートすることもできます。

  1. NMCサーバのCA署名済み証明書(<server>.crt)を、NMCクライアント ホスト上の任意のフォルダに配置します。
  2. CA署名済み証明書のプロパティを開きます。
  3. Install Certificateをクリックします。
  4. [ローカル マシン]を選択します。
  5. [すべての証明書を次のストアに配置する] を選択します。
  6. 参照 をクリックします
  7. [信頼されたルート証明機関]を選択し、[OK]をクリックします。
  8. [次へ]をクリックします
  9. 完了]をクリックします。
  10. インポートが失敗したか成功したかを示すメッセージが表示されたら、OKをクリックします。
  11. CA署名済み証明書のプロパティで、OKをクリックします。

次回のNMC起動時には、セキュリティ警告は表示されません。

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.