NetWorker: Importowanie lub zastępowanie certyfikatów NMC podpisanych przez urząd certyfikacji

Summary: W tych instrukcjach opisano sposób zastąpienia domyślnego certyfikatu NetWorker z podpisem własnym certyfikatem certyfikatem podpisanym przez instytucję certyfikującą na serwerze NetWorker Management Console (NMC). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

W tych instrukcjach opisano sposób zastąpienia domyślnego certyfikatu NetWorker z podpisem własnym certyfikatem certyfikatem podpisanym przez instytucję certyfikującą dla konsoli NetWorker Management Console (NMC). Ten artykuł bazy wiedzy zawiera instrukcje dotyczące serwerów NMC z systemem Windows i Linux.

Proces zastępowania certyfikatów z podpisem własnym NetWorker Server Authentication Service (Authc) i NetWorker Web User Interface (NWUI) certyfikatami podpisanymi przez CA został szczegółowo opisany w następujących bazach wiedzy specyficznych dla danego systemu operacyjnego:

Związane z tym certyfikaty:

  • <server>.csr: Żądanie podpisania certyfikatu serwera konsoli zarządzającej NetWorker Management Console

  • <server>.key: Klucz prywatny serwera konsoli zarządzającej NetWorker Management Console

  • <server>.crt: Certyfikat serwera NetWorker Management Console podpisany przez instytucję certyfikującą

  • <CA>.crt: Certyfikat główny CA

  • <ICA>.crt: Certyfikat pośredni CA (opcjonalny, jeśli jest dostępny)

UWAGA: Gdzie <server> to skrócona nazwa serwera NMC.

Przed rozpoczęciem:

Ten proces wykorzystuje narzędzie OpenSSL. To narzędzie jest domyślnie dostarczane w systemach operacyjnych Linux; jednak nie jest uwzględniony w systemach Windows. Skonsultuj się z administratorem systemu w sprawie instalacji OpenSSL. Wymagana wersja OpenSSL różni się w zależności od zainstalowanej wersji NetWorker.

  • NetWorker w wersji 19.8 lub starszej wymaga openssl w wersji 1.0.2
  • NetWorker od 19.9 do 19.11 wymaga openssl w wersji 1.1.1n 
UWAGA: Hosty Linux korzystające z NetWorker 19.12.0.0 obsługują OpenSSL 3.0.14. System Windows nadal wymaga wersji 1.1.1n.
OSTRZEŻENIE: Jeśli zostanie użyta niewłaściwa wersja OpenSSL, proces GSTD NMC nie uruchomi NetWorker: Usługa NMC GST jest uruchamiana, a następnie natychmiast wyłączana po zastąpieniu cakey.pem.


Wersję OpenSSL można zidentyfikować w następujący sposób:

Linux: 
# openssl version
Windows:
  1. Z Eksploratora plików systemu Windows przejdź do lokalizacji openssl.exe. Ta ścieżka może się różnić w zależności od sposobu instalacji OpenSSL.
  2. Otwórz plik openssl.exe i przejdź do zakładki Details . Pole Wersja produktu zawiera szczegółowe informacje o wersji OpenSSL:
Szczegóły wersji OpenSSL

Alternatywnie, jeśli ścieżka openssl.exe pliku jest częścią systemowej zmiennej PATH, możesz uruchomić polecenie "openssl version" z wiersza poleceń administratora; W przeciwnym razie można zmienić katalog (cd) na katalog openssl.exe.

 

Wygeneruj klucz prywatny i plik żądania podpisania certyfikatu (CSR), aby dostarczyć je do urzędu certyfikacji.

  1. Na serwerze NMC użyj narzędzia wiersza poleceń OpenSSL, aby utworzyć plik klucza prywatnego serwera NetWorker (<server>.key) i plik CSR (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Jeśli plik C:\tmp nie istnieje, plik CSR i pliki klucza można umieścić w wybranej lokalizacji.
 
  1. Wyślij plik CSR (<server>.csr) do urzędu certyfikacji, aby wygenerować plik certyfikatu podpisanego przez instytucję certyfikującą (<server>.crt). Urząd certyfikacji powinien dostarczyć plik certyfikatu podpisanego przez instytucję certyfikującą (<server>.crt), certyfikat główny (<CA>.crt) oraz wszelkie pośrednie certyfikaty urzędu certyfikacji (<ICA>.crt).

Serwery Linux NetWorker Management Console (NMC):

  1. Pobierz certyfikaty podpisane przez instytucję certyfikującą w pojedynczych plikach kluczy lub pojedynczym pliku w formacie PFX.
  2. Jeśli certyfikaty podpisane przez urząd certyfikacji znajdują się w jednym pliku PFX, klucz prywatny i certyfikat podpisany przez urząd certyfikacji można wyodrębnić tak jak w przypadku narzędzia OpenSSL (system Windows może nie mieć zainstalowanego OpenSSL, można go zainstalować oddzielnie).
UWAGA: Podczas wykonywania tego procesu należy zastąpić pliki .crt i .key pełną ścieżką pliku, w tym odpowiednio nazwą pliku certyfikatu i plikami kluczy.
A. Wyodrębnij klucz prywatny i certyfikat podpisany przez instytucję certyfikującą z pliku PFX.
Klucz prywatny: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certyfikat CA: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Sprawdź integralność pliku server.key i pliku server.crt.

UWAGA: Upewnij się, że dane wyjściowe pokazują ten sam skrót sumy kontrolnej z tych dwóch danych wyjściowych. Jeśli są różne, jest problem. Jeśli są takie same, przejdź do następnego kroku.
Klucz prywatny: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Certyfikat CA: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Przekonwertuj klucz prywatny, certyfikat serwera podpisany przez instytucję certyfikującą, główny urząd certyfikacji (i wszelkie certyfikaty pośrednie) na format PEM.

Klucz prywatny: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Certyfikat serwera podpisany przez instytucję certyfikującą: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Certyfikat głównego urzędu certyfikacji: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Certyfikat pośredniego urzędu certyfikacji (jeśli jest dostępny): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Połącz plik server.key.pem, główny urząd certyfikacji.crt, certyfikat pośredni (jeśli jest dostępny) i podpisany certyfikat serwera w pliku cakey.pem dla NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Wyłącz usługę gst serwera NMC:
# systemctl stop gst
  1. Zrób kopię istniejącego pliku cakey.pem, a następnie zamień domyślny plik na ten utworzony w kroku 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Utwórz kopię pliku server.crt i plików server.key serwera NMC, a następnie zastąp oryginalne pliki podpisanym server.crt i server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
UWAGA: Możesz przywrócić kopie zapasowe wszystkich zaobserwowanych problemów. Użycie polecenia kopiowania w celu zastąpienia oryginałów gwarantuje, że pliki zachowują prawidłowe prawa własności i uprawnienia. Pliki te muszą należeć do domyślnego konta usługi NMC (nsrnmc) z uprawnieniami 600 .
  1. Uruchom usługę gst serwera NMC:
# systemctl start gst
  1. Monitoruj plik /opt/lgtonmc/logs/gstd.raw serwera NMC pod kątem błędów.

NetWorker: Jak używać nsr_render_log do renderowania pliku dziennika .raw

Weryfikacja:

Kiedy usługa gst serwera NMC jest uruchomiona, porównaj odcisk palca certyfikatu podpisanego przez instytucję certyfikującą z odciskiem palca portu serwisowego gst NMC (9000):

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

Odcisk palca SHA256 tych dwóch poleceń powinien być zgodny.

Przykład:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Serwery Windows NetWorker Management Console (NMC):

  1. Pobierz certyfikaty podpisane przez instytucję certyfikującą w pojedynczych plikach kluczy lub pojedynczym pliku w formacie PFX.
  2. Jeśli certyfikaty podpisane przez urząd certyfikacji znajdują się w jednym pliku PFX, klucz prywatny i certyfikat podpisany przez urząd certyfikacji można wyodrębnić tak jak w przypadku narzędzia OpenSSL (system Windows może nie mieć zainstalowanego OpenSSL, można go zainstalować oddzielnie).
UWAGA: Podczas wykonywania tego procesu należy zastąpić pliki .crt i .key pełną ścieżką pliku, w tym odpowiednio nazwą pliku certyfikatu i plikami kluczy.
A. Wyodrębnij klucz prywatny i certyfikat podpisany przez instytucję certyfikującą z pliku PFX.
Klucz prywatny: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certyfikat CA: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Sprawdź integralność pliku server.key i pliku server.crt.

UWAGA: Upewnij się, że dane wyjściowe pokazują ten sam skrót sumy kontrolnej z tych dwóch danych wyjściowych. Jeśli są różne, jest problem. Jeśli są takie same, przejdź do następnego kroku.
Klucz prywatny: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Certyfikat CA: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Przekonwertuj klucz prywatny, certyfikat serwera podpisany przez instytucję certyfikującą, główny urząd certyfikacji (i wszelkie certyfikaty pośrednie) na format PEM.

Klucz prywatny: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Certyfikat serwera podpisany przez instytucję certyfikującą: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Połącz pliki server.key.pem i sever.crt.pem w plik cakey.pem dla NMC. W tym celu zaleca się użycie następującego polecenia PowerShell: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Wyłącz usługę gst serwera NMC:
net stop gstd
  1. Zrób kopię oryginalnego cakey.pem, a następnie umieść w jego miejscu połączony CA podpisany cakey.pem:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
UWAGA: Zostanie wyświetlony monit o zastąpienie oryginału. Nadpisz certyfikat, ponieważ istnieje kopia oryginału. Nadpisanie oryginału zapewnia zachowanie własności i uprawnień do pliku.
  1. Utwórz kopię pliku server.crt i plików server.key serwera NMC, a następnie zastąp oryginalne pliki podpisanym server.crt i server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Uruchom usługę gst serwera NMC:
net start gstd
  1. Monitoruj serwer NMC C :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw pod kątem błędów.

NetWorker: Jak używać nsr_render_log do renderowania pliku dziennika .raw

Weryfikacja:

Kiedy usługa gst serwera NMC jest uruchomiona, porównaj odcisk palca certyfikatu podpisanego przez instytucję certyfikującą z odciskiem palca portu serwisowego gst NMC (9000):

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

Odcisk palca SHA256 tych dwóch poleceń powinien być zgodny.

Przykład:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Nawet po zastąpieniu certyfikatu z podpisem własnym NMC certyfikatem podpisanym przez instytucję certyfikującą podczas łączenia się z serwerem NMC z poziomu programu uruchamiającego NMC może zostać wyświetlone następujące ostrzeżenie:

Urząd certyfikacji, który wystawił certyfikat, nie jest zaufany

Kliknij przycisk "View Certificate Details". Szczegóły certyfikatu potwierdzają, czy jest używany certyfikat podpisany przez urząd certyfikacji. 

Ostrzeżenie pojawia się, ponieważ w zaufanych certyfikatach głównych klienta NMC brakuje podpisanego certyfikatu.
 

UWAGA: Klient NMC to dowolny host używany do uzyskiwania dostępu do NMC.

To ostrzeżenie można zignorować; opcjonalnie certyfikat podpisany przez instytucję certyfikującą serwera NMC można również zaimportować do zaufanych certyfikatów głównych klienta NMC:

  1. Umieść certyfikat z podpisem CA serwera NMC (<server.crt>) na hoście klienta NMC w wybranym folderze.
  2. Otwórz właściwości certyfikatu podpisanego przez instytucję certyfikującą.
  3. Kliknij opcję Zainstaluj certyfikat.
  4. Wybierz opcję Komputer lokalny.
  5. Wybierz pozycję Umieść wszystkie certyfikaty w następującym magazynie.
  6. Kliknij przycisk Przeglądaj.
  7. Wybierz opcję Zaufane główne urzędy certyfikacji, a następnie kliknij przycisk OK.
  8. Kliknij przycisk Dalej.
  9. Kliknij przycisk Finish.
  10. Zostanie wyświetlony komunikat informujący, czy import się nie powiódł, czy też się powiódł.
  11. We właściwościach certyfikatu podpisanego przez instytucję certyfikującą kliknij przycisk OK.

Podczas następnego uruchomienia NMC ostrzeżenie o zabezpieczeniach nie jest wyświetlane.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.