NetWorker: Ondertekende certificaten van certificeringsinstantie importeren of vervangen voor NMC

Summary: In deze instructies wordt beschreven hoe u het standaard zelfondertekende NetWorker-certificaat vervangt door een CA-ondertekend certificaat op een NMC-server (NetWorker Management Console). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In deze instructies wordt beschreven hoe u het standaard zelfondertekende NetWorker-certificaat vervangt door een CA-ondertekend certificaat voor de NetWorker Management Console (NMC). Deze KB bevat instructies voor zowel Windows als Linux NMC servers.

Het proces voor het vervangen van de zelfondertekende certificaten van de NetWorker Server Authentication Service (authc) en NetWorker Web User Interface (NWUI) door CA-ondertekende certificaten wordt beschreven in de volgende KB's voor het besturingssysteem:

Betrokken certificaten:

  • <server>.csr: NetWorker Management Console Aanvraag voor servercertificaat

  • <server>.key: NetWorker Management Console Privésleutel van server

  • <server.crt>: NetWorker Management Console Server-CA-ondertekend certificaat

  • <CA.crt>: CA-basiscertificaat

  • <ICA.crt>: CA intermediate certificate (optioneel indien beschikbaar)

OPMERKING: Waarbij <server> de korte naam is van de NMC server.

Voordat u begint:

Dit proces maakt gebruik van het hulpprogramma OpenSSL. Dit hulpprogramma wordt standaard geleverd op Linux-besturingssystemen; is echter niet inbegrepen op Windows-systemen. Neem contact op met de systeembeheerder over de installatie van OpenSSL. De vereiste versie van OpenSSL verschilt afhankelijk van de geïnstalleerde NetWorker-versie.

  • NetWorker 19.8 en eerder vereisen openssl versie 1.0.2
  • NetWorker 19.9 t/m 19.11 vereisen openssl versie 1.1.1n 
OPMERKING: Linux-hosts die NetWorker 19.12.0.0 gebruiken, ondersteunen OpenSSL 3.0.14. Windows vereist nog steeds 1.1.1n.
WAARSCHUWING: Als de verkeerde versie van OpenSSL wordt gebruikt, kan NetWorker niet worden gestart tijdens het GSTD-proces van NMC: NMC GST-service wordt gestart en onmiddellijk afgesloten na het vervangen van cakey.pem.


De OpenSSL-versie kan als volgt worden geïdentificeerd:

Linux: 
# openssl version
Windows:
  1. Ga vanuit Windows Verkenner naar de locatie openssl.exe. Dit pad kan verschillen, afhankelijk van hoe OpenSSL is geïnstalleerd.
  2. Open het openssl.exe bestand en ga naar het tabbladD-etails . In het veld Product Version wordt de OpenSSL-versie beschreven:
Details OpenSSL-versie

Als alternatief, als het pad van het openssl.exe-bestand deel uitmaakt van de PATH-variabele van het systeem, kunt u de opdracht 'openssl version' uitvoeren vanuit de opdrachtprompt Beheer; Anders kunt u de map (CD) wijzigen in de openssl.exe map.

 

Genereer een CM-bestand (Certificate Signing Request) en een bestand voor een persoonlijke sleutel en een CSR-bestand (Certificate Signing Request) dat u aan uw CA kunt verstrekken.

  1. Gebruik op de NMC server het OpenSSL-opdrachtregelprogramma om het bestand met de persoonlijke sleutel van de NetWorker-server te maken (<server>.key) en het MVO-dossier (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
De csr- en sleutelbestanden kunnen op een locatie naar keuze worden geplaatst als C:\tmp niet bestaat.
 
  1. Stuur het CSR-bestand (<server>.csr) naar de certificeringsinstantie om het door de certificeringsinstantie ondertekende certificaatbestand (<server>.crt). De CA moet het door de CA ondertekende certificaatbestand (<server>.crt), het basiscertificaat (<CA>.crt), en eventuele tussenliggende CA-certificaten (<ICA>.crt).

Linux NetWorker Management Console (NMC) Servers:

  1. Haal de CA-ondertekende certificaten op in afzonderlijke sleutelbestanden of één bestand in PFX-indeling.
  2. Als de CA-ondertekende certificaten zich in één PFX-bestand bevinden, kunnen de persoonlijke sleutel en het CA-ondertekende certificaat worden uitgepakt zoals met de OpenSSL-tool (OpenSSL is mogelijk niet geïnstalleerd, het kan afzonderlijk worden geïnstalleerd).
OPMERKING: Wanneer u dit proces volgt, moet u ervoor zorgen dat u de .crt- en .key-bestanden vervangt door het volledige bestandspad, inclusief de bestandsnaam van uw certificaat en de sleutelbestanden.
A. Pak de persoonlijke sleutel en het door de CA ondertekende certificaat uit het PFX-bestand uit.
Private key: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-certificaat: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Controleer de integriteit van de server.key en server.crt.

OPMERKING: Zorg ervoor dat de uitvoer dezelfde checksum-hash van deze twee uitvoer toont. Als ze verschillend zijn, is er een probleem. Als ze hetzelfde zijn, gaat u naar de volgende stap.
Private Key: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA-certificaat: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Converteer de persoonlijke sleutel, het door de CA ondertekende servercertificaat, de root-CA (en eventuele tussenliggende certificaten) naar de PEM-indeling.

Private Key: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA signed server cert: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Basis-CA-certificaat: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Intermediate CA-certificaat (indien beschikbaar): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Combineer het server.key.pem-, root CA.crt-, Intermediate-certificaat (indien beschikbaar) en het ondertekende servercertificaat in het cakey.pem-bestand voor NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Sluit de gst-service van de NMC server af:
# systemctl stop gst
  1. Maak een kopie van het bestaande cakey.pem-bestand en vervang vervolgens het standaardbestand door het bestand dat is gemaakt in stap 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Maak een kopie van de server.crt- en server.key-bestanden van de NMC server en vervang vervolgens de originele bestanden door de ondertekende server.crt en server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
OPMERKING: U kunt terugkeren naar de back-ups van eventuele waargenomen problemen. Als u de kopieeropdracht gebruikt om de originelen te overschrijven, zorgt u ervoor dat de bestanden het juiste eigendom en de juiste machtigingen behouden. Deze bestanden moeten eigendom zijn van het standaard NMC-serviceaccount (nsrnmc) met 600 machtigingen.
  1. Start de gst-service van de NMC server:
# systemctl start gst
  1. Controleer de /opt/lgtonmc/logs/gstd.raw van de NMC server op eventuele fouten.

NetWorker: De nsr_render_log gebruiken om .raw logbestand weer te geven

Verificatie:

Wanneer de gst-service van de NMC server actief is, vergelijkt u de vingerafdruk van het door de CA ondertekende certificaat met de vingerafdruk van het certificaat van de gst-servicepoort (9000) van de NMC:

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

De SHA256-vingerafdruk van deze twee opdrachten moet overeenkomen.

Voorbeeld:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Windows NetWorker Management Console (NMC) Servers:

  1. Haal de CA-ondertekende certificaten op in afzonderlijke sleutelbestanden of één bestand in PFX-indeling.
  2. Als de CA-ondertekende certificaten zich in één PFX-bestand bevinden, kunnen de persoonlijke sleutel en het CA-ondertekende certificaat worden uitgepakt zoals met de OpenSSL-tool (OpenSSL is mogelijk niet geïnstalleerd, het kan afzonderlijk worden geïnstalleerd).
OPMERKING: Wanneer u dit proces volgt, moet u ervoor zorgen dat u de .crt- en .key-bestanden vervangt door het volledige bestandspad, inclusief de bestandsnaam van uw certificaat en de sleutelbestanden.
A. Pak de persoonlijke sleutel en het door de CA ondertekende certificaat uit het PFX-bestand uit.
Private key: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA-certificaat: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Controleer de integriteit van de server.key en server.crt.

OPMERKING: Zorg ervoor dat de uitvoer dezelfde checksum-hash van deze twee uitvoer toont. Als ze verschillend zijn, is er een probleem. Als ze hetzelfde zijn, gaat u naar de volgende stap.
Private Key: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA-certificaat: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Converteer de persoonlijke sleutel, het door de CA ondertekende servercertificaat, de root-CA (en eventuele tussenliggende certificaten) naar de PEM-indeling.

Private Key: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA signed server cert: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Combineer de server.key.pem en sever.crt.pem in het bestand cakey.pem voor NMC. Het wordt aanbevolen om hiervoor de volgende PowerShell-opdracht te gebruiken: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Sluit de gst-service van de NMC server af:
net stop gstd
  1. Maak een kopie van de originele cakey.pem en plaats vervolgens de gecombineerde CA ondertekende cakey.pem op zijn plaats:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
OPMERKING: U wordt gevraagd het origineel te overschrijven. Overschrijf het certificaat omdat er een kopie van het origineel aanwezig is. Het overschrijven van het origineel zorgt ervoor dat het eigendom en de machtigingen van het bestand behouden blijven.
  1. Maak een kopie van de server.crt- en server.key-bestanden van de NMC server en vervang vervolgens de originele bestanden door de ondertekende server.crt en server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Start de gst-service van de NMC server:
net start gstd
  1. Controleer de C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw van de NMC server op eventuele fouten.

NetWorker: De nsr_render_log gebruiken om .raw logbestand weer te geven

Verificatie:

Wanneer de gst-service van de NMC server actief is, vergelijkt u de vingerafdruk van het door de CA ondertekende certificaat met de vingerafdruk van het certificaat van de gst-servicepoort (9000) van de NMC:

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

De SHA256-vingerafdruk van deze twee opdrachten moet overeenkomen.

Voorbeeld:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Zelfs nadat het zelfondertekende certificaat van de NMC is vervangen door een CA-ondertekend certificaat, ziet u mogelijk de volgende waarschuwing wanneer u verbinding maakt met een NMC server vanuit de NMC launcher:

De certificeringsinstantie die het certificaat heeft uitgegeven, wordt niet vertrouwd

Klik op "View Certificate Details". De certificaatgegevens valideren dat het door de CA ondertekende certificaat wordt gebruikt. 

De waarschuwing wordt weergegeven omdat het ondertekende certificaat ontbreekt in de vertrouwde basiscertificaten van de NMC client.
 

OPMERKING: Een NMC client is een host die wordt gebruikt om toegang te krijgen tot de NMC.

Deze waarschuwing kan worden genegeerd; optioneel kan het CA-ondertekende certificaat van de NMC server ook worden geïmporteerd in de vertrouwde basiscertificaten van de NMC client:

  1. Plaats het CA-ondertekende certificaat van de NMC server (<server.crt>) op de NMC client host in een map naar keuze.
  2. Open de eigenschappen van het CA-ondertekende certificaat.
  3. Klik op Install Certificate.
  4. Selecteer Lokale computer.
  5. Selecteer Alle certificaten in het volgende archief plaatsen.
  6. Klik op Browse.
  7. Selecteer Vertrouwde basiscertificeringsinstanties en klik op OK.
  8. Klik op Volgende.
  9. Klik op Voltooien.
  10. Er verschijnt een bericht waarin staat dat als het importeren is mislukt of is gelukt, klik op OK.
  11. Klik in de eigenschappen van het door CA ondertekende certificaat op OK.

Bij de volgende lancering van NMC wordt de beveiligingswaarschuwing niet weergegeven.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.