NetWorker:如何匯入或更換 NMC 認證機構簽署的憑證

Summary: 這些指示說明如何在 NetWorker Management Console (NMC) 伺服器上將預設 NetWorker 自我簽署憑證更換為 CA 簽署憑證。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

這些指示說明如何將預設 NetWorker 自我簽署憑證更換為 NetWorker 管理主控台 (NMC) 的 CA 簽署憑證。本 KB 提供 Windows 和 Linux NMC 伺服器的指示。

以下作業系統專屬 KB 中詳述將 NetWorker 伺服器驗證服務 (authc) 和 NetWorker Web 使用者介面 (NWUI) 自我簽署憑證更換為 CA 簽署憑證的程序:

涉及的憑證:

  • <server>.csr:NetWorker Management Console 伺服器憑證簽署要求

  • <server>.key:NetWorker Management Console 伺服器私密金鑰

  • <server>.crt:NetWorker Management Console 伺服器 CA 簽署憑證

  • <CA>.crt:CA 根憑證

  • <ICA>.crt:CA 中繼憑證 (選用,如果有)

注意:其中 <server> 是 NMC 伺服器的短名稱。

開始之前:

此程序會使用 OpenSSL 公用程式。此公用程式在 Linux 作業系統上預設提供;但是,不包含在 Windows 系統上。有關安裝 OpenSSL 的問題,請諮詢系統管理員。所需的 OpenSSL 版本會因安裝的 NetWorker 版本而有所不同。

  • NetWorker 19.8 及更早版本需要 openssl 版本 1.0.2
  • NetWorker 19.9 至 19.11 需要 openssl 版本 1.1.1n 
注意:使用 NetWorker 19.12.0.0 的 Linux 主機支援 OpenSSL 3.0.14。Windows 仍需要 1.1.1n。
警告:如果使用錯誤版本的 OpenSSL,NMC 的 GSTD 程序將無法啟動 NetWorker:NMC GST 服務開始,然後在更換 cakey.pem 後立即關閉


OpenSSL 版本可識別如下:

Linux: 
# openssl version
Windows:
  1. 從 Windows 檔案總管前往openssl.exe位置。此路徑可能會有所不同,具體取決於 OpenSSL 的安裝方式。
  2. 打開 openssl.exe 檔,然後轉到 D 部選項卡。產品版本欄位會詳細說明 OpenSSL 版本:
OpenSSL 版本詳細資料

或者,如果openssl.exe檔路徑是系統PATH變數的一部分,則可以從和管理命令提示符運行「openssl version」命令;否則,您可以將目錄 (CD) 變更為openssl.exe目錄。

 

產生私人金鑰和憑證簽署要求 (CSR) 檔案以提供給您的 CA。

  1. 在 NMC 伺服器上,使用 OpenSSL 命令列公用程式建立 NetWorker 伺服器私密金鑰檔案 (<server>.key) 和 CSR 檔案 (<server>.csr)。
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
如果 C:\tmp 不存在,csr 和金鑰檔案可放置在您選擇的位置。
 
  1. 傳送 CSR 檔案 (<server>.csr) 以產生 CA 簽署的憑證檔 (<server>.crt)。CA 應提供 CA 簽署的憑證檔案 (<server>.crt),根憑證 (<CA>.crt),以及任何中間 CA 憑證 (<ICA>.crt)。

Linux NetWorker 管理主控台 (NMC) 伺服器:

  1. 取得個別金鑰檔案或 PFX 格式的單一檔案中的 CA 簽署憑證。
  2. 如果 CA 簽署的憑證位於單一 PFX 檔案中,則私密金鑰和 CA 簽署的憑證可像使用 OpenSSL 工具一樣解壓縮 (Windows 可能未安裝 OpenSSL,可個別安裝)。
注意:執行此過程時,請確保將 .crt 和 .key 檔案替換為完整檔案路徑,並相應地包括證書和密鑰檔的檔名。
A. 從 PFX 檔案中提取私密金鑰和 CA 簽署的憑證。
私密金鑰: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 憑證: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. 確認 server.key 和 server.crt 的完整性。

注意:請確定輸出顯示這兩個輸出的相同檢查總和雜湊。如果它們不同,則存在問題。如果相同,請前往下一個步驟。
私密金鑰: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA 憑證: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. 將私密金鑰、CA 簽署的伺服器憑證、root CA (及任何中繼憑證) 轉換為 PEM 格式。

私密金鑰: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA 簽署的伺服器憑證: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
根 CA 憑證: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
中繼 CA 憑證 (若有): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. 將 server.key.pem、根 CA.crt、中繼憑證 (若有) 和已簽署的伺服器憑證合併至 NMC 的 cakey.pem 檔案中: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. 關閉 NMC 伺服器的 gst 服務:
# systemctl stop gst
  1. 複製現有的 cakey.pem 檔案,然後將預設檔案替換為在步驟 2 D 中建立的檔案。
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. 製作 NMC 伺服器的 server.crt 和server.key檔案的複本,然後將原始檔案更換為已簽署的 server.crt,並server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
注意:您可以還原到任何觀察到問題的備份副本。使用 copy 命令覆寫原始檔案可確保檔案保留正確的擁有權和權限。這些檔案必須由具有 600 個權限的預設 NMC 服務帳戶 (nsrnmc) 擁有。
  1. 啟動 NMC 伺服器的 gst 服務:
# systemctl start gst
  1. 監控 NMC 伺服器的 /opt/lgtonmc/logs/gstd.raw 是否有任何錯誤。

NetWorker:如何使用nsr_render_log呈現.raw紀錄檔

驗證:

當 NMC 伺服器的 gst 服務運行時,將 CA 簽署憑證的指紋與 NMC 的 gst 服務連接埠 (9000) 的憑證指紋進行比較:

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

這兩個命令的 SHA256 指紋應相符。

範例:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Windows NetWorker 管理主控台 (NMC) 伺服器:

  1. 取得個別金鑰檔案或 PFX 格式的單一檔案中的 CA 簽署憑證。
  2. 如果 CA 簽署的憑證位於單一 PFX 檔案中,則私密金鑰和 CA 簽署的憑證可像使用 OpenSSL 工具一樣解壓縮 (Windows 可能未安裝 OpenSSL,可個別安裝)。
注意:執行此過程時,請確保將 .crt 和 .key 檔案替換為完整檔案路徑,並相應地包括證書和密鑰檔的檔名。
A. 從 PFX 檔案中提取私密金鑰和 CA 簽署的憑證。
私密金鑰: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 憑證: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. 確認 server.key 和 server.crt 的完整性。

注意:請確定輸出顯示這兩個輸出的相同檢查總和雜湊。如果它們不同,則存在問題。如果相同,請前往下一個步驟。
私密金鑰: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA 憑證: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. 將私密金鑰、CA 簽署的伺服器憑證、root CA (及任何中繼憑證) 轉換為 PEM 格式。

私密金鑰: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA 簽署的伺服器憑證: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. 將 server.key.pem 和 sever.crt.pem 合併至 NMC 的 cakey.pem 檔案中。為此,建議使用下列 PowerShell 命令: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. 關閉 NMC 伺服器的 gst 服務:
net stop gstd
  1. 製作原始 cakey.pem 的副本,然後將組合的 CA 簽名的 cakey.pem 放在其位置:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
注意:系統將提示您覆蓋原始檔。當有原始憑證的副本時,請覆寫憑證。覆蓋原始檔可確保保留檔擁有權和許可權。
  1. 製作 NMC 伺服器的 server.crt 和server.key檔案的複本,然後將原始檔案更換為已簽署的 server.crt,並server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. 啟動 NMC 伺服器的 gst 服務:
net start gstd
  1. 監控 NMC 伺服器的 C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw 是否有任何錯誤。

NetWorker:如何使用nsr_render_log呈現.raw紀錄檔

驗證:

當 NMC 伺服器的 gst 服務運行時,將 CA 簽署憑證的指紋與 NMC 的 gst 服務連接埠 (9000) 的憑證指紋進行比較:

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

這兩個命令的 SHA256 指紋應相符。

範例:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

即使 NMC 的自我簽署憑證已更換為 CA 簽署憑證,從 NMC 啟動器連線至 NMC 伺服器時,您可能會看到下列警告:

頒發憑證的認證機構不受信任

按一下「檢視憑證詳細資料」。證書詳細資訊驗證是否使用 CA 簽名證書。 

出現警告是因為 NMC 用戶端的受信任根憑證遺失已簽署的憑證。
 

注意:NMC 用戶端是用於存取 NMC 的任何主機。

可以忽略此警告;或者,NMC 伺服器的 CA 簽署憑證也可以匯入 NMC 用戶端的受信任根憑證:

  1. 將 NMC 伺服器的 CA 簽署憑證 (<server.crt>) 放在 NMC 用戶端主機上您選擇的資料夾中。
  2. 開啟 CA 簽署的憑證屬性。
  3. 按一下 安裝憑證
  4. 選取近端機器
  5. 選取將所有憑證放在下列存放區中。
  6. 一下瀏覽
  7. 選取受信任的根認證機構,然後按一下確定。
  8. 按一下 Next (下一步)。
  9. 按一下完成
  10. 隨即會出現訊息,說明匯入失敗或成功,請按一下確定
  11. 在 CA 簽署的憑證屬性上,按一下確定

在下一次 NMC 啟動時,不會出現安全性警告。

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.