NetWorker: Як імпортувати або замінити сертифікати, підписані центром сертифікації для NMC

Summary: У цих інструкціях описано, як замінити самопідписаний сертифікат NetWorker за замовчуванням на сертифікат, підписаний CA, на сервері NetWorker Management Console (NMC).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

У цих інструкціях описано, як замінити самопідписаний сертифікат NetWorker за замовчуванням на сертифікат, підписаний CA, для консолі управління NetWorker (NMC). Ця база знань містить інструкції для серверів NMC Windows і Linux.

Процес заміни самопідписаних сертифікатів служби аутентифікації сервера NetWorker (authc) і веб-інтерфейсу користувача NetWorker (NWUI) на сертифікати, підписані CA, детально описаний у наступних базах даних, специфічних для операційної системи:

Сертифікати, що беруть участь:

  • <сервер.csr>: Запит на підписання сертифіката сервера NetWorker Management Console

  • <сервер.key>: Закритий ключ сервера консолі управління NetWorker

  • <server.crt>: Сертифікат NetWorker Management Console Server, підписаний ЦС

  • <CA.crt>: Кореневий сертифікат ЦС

  • <ICA.crt>: Проміжний сертифікат CA (необов'язково за наявності)

ПРИМІТКА. Де <server> – це скорочення від імені NMC-сервера.

Перш ніж почати:

Для цього процесу використовується утиліта OpenSSL. Ця утиліта надається за замовчуванням в операційних системах Linux; однак не включений в системи Windows. Проконсультуйтеся з адміністратором системи щодо встановлення OpenSSL. Необхідна версія OpenSSL відрізняється в залежності від встановленої версії NetWorker.

  • NetWorker 19.8 і попередні вимагають openssl версії 1.0.2
  • Для NetWorker з 19.9 по 19.11 потрібна версія openssl 1.1.1n 
ПРИМІТКА. Хости Linux, що використовують NetWorker 19.12.0.0, підтримують OpenSSL 3.0.14. Для Windows все ще потрібен 1.1.1n.
ПОПЕРЕДЖЕННЯ: Якщо використовується неправильна версія OpenSSL, процес GSTD NMC не запускає NetWorker: Послуга NMC GST запускається, а потім негайно вимикається після заміни cakey.pem.


Версію OpenSSL можна виділити наступне:

Linux: 
# openssl version
Вікна:
  1. У Файловому провіднику Windows перейдіть до розташування openssl.exe. Цей шлях може відрізнятися в залежності від того, як був встановлений OpenSSL.
  2. Відкрийте файл openssl.exe і перейдіть на вкладку Details . У полі «Версія продукту» детально описана версія OpenSSL:
Подробиці про версію OpenSSL

Крім того, якщо шлях до файлу openssl.exe є частиною системної змінної PATH, ви можете запустити команду 'openssl version' з і адміністративного командного рядка; В іншому випадку ви можете змінити каталог (CD) на каталог openssl.exe.

 

Згенеруйте закритий ключ і файл запиту на підпис сертифіката (CSR), щоб надіслати його до вашого центру сертифікації.

  1. На сервері NMC використовуйте утиліту командного рядка OpenSSL, щоб створити файл закритого ключа сервера NetWorker (<server>.key) і файл CSR (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Вікна:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Файли csr та key можуть бути розміщені у вибраному вами місці, якщо C:\tmp не існує.
 
  1. Надішліть файл CSR (<server>.csr) до ЦС, щоб згенерувати файл сертифіката, підписаний ЦС (<server>.crt). ЦС має надати файл сертифіката, підписаний ЦС (<server>.crt), кореневий сертифікат (<CA>.crt), а також будь-які проміжні сертифікати ЦС (<ICA>.crt).

Сервери консолі керування Linux NetWorker (NMC):

  1. Отримайте сертифікати з підписом ЦС у вигляді окремих файлів ключів або одного файлу у форматі PFX.
  2. Якщо сертифікати ЦС підписані в одному файлі PFX, закритий ключ і сертифікат ЦС можуть бути розпаковані, як це було з інструментом OpenSSL (у Windows може не бути встановлено OpenSSL, його можна встановити окремо).
ПРИМІТКА. Виконуючи цей процес, переконайтеся, що ви замінили файли .crt і .key повним шляхом до файлу, включно з іменем файлу сертифіката та файлами ключів відповідно.
A. Витягніть закритий ключ і сертифікат із підписом ЦС із файлу PFX.
Приватний ключ: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Сертифікат CA: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Перевірте цілісність server.key і server.crt.

ПРИМІТКА. Переконайтеся, що вихідні дані показують однаковий хеш контрольної суми з цих двох виходів. Якщо вони різні, то є проблема. Якщо вони збігаються, переходимо до наступного кроку.
Приватний ключ: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Сертифікат CA: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Перетворіть приватний ключ, сертифікат сервера з підписом CA, кореневий CA (і будь-які проміжні сертифікати) у формат PEM.

Приватний ключ: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Сертифікат сервера з підписом CA: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Сертифікат кореневого ЦС: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Сертифікат ЦС середнього рівня (за наявності): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Об'єднайте сертифікати server.key.pem, root CA.crt, Intermediate cert (якщо є) і підписаний сертифікат сервера у файл cakey.pem для NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Вимкніть службу GST сервера NMC:
# systemctl stop gst
  1. Зробіть копію існуючого файлу cakey.pem, а потім замініть файл за замовчуванням на той, що був створений на кроці 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Створіть копію файлів server.crt і server.key сервера NMC, потім замініть оригінальні файли на підписаний server.crt і server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
ПРИМІТКА. Ви можете повернутися до резервних копій будь-яких помічених проблем. Використання команди копіювання для перезапису оригіналів гарантує, що файли збережуть правильні права власності та дозволи. Ці файли мають належати службовому обліковому запису NMC за замовчуванням (nsrnmc) із 600 дозволами.
  1. Запустіть службу GST сервера NMC:
# systemctl start gst
  1. Слідкуйте за / opt/lgtonmc/logs/gstd.raw сервера NMC на наявність будь-яких помилок.

NetWorker: Як використовувати nsr_render_log для відображення файлу журналу .raw

Верифікація:

Коли працює служба GST сервера NMC, порівняйте відбиток сертифіката з підписом ЦС із відбитком пальця сертифіката порту служби GST NMC (9000):

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

Відбиток пальця SHA256 цих двох команд повинен збігатися.

Приклад:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Сервери консолі керування Windows NetWorker (NMC):

  1. Отримайте сертифікати з підписом ЦС у вигляді окремих файлів ключів або одного файлу у форматі PFX.
  2. Якщо сертифікати ЦС підписані в одному файлі PFX, закритий ключ і сертифікат ЦС можуть бути розпаковані, як це було з інструментом OpenSSL (у Windows може не бути встановлено OpenSSL, його можна встановити окремо).
ПРИМІТКА. Виконуючи цей процес, переконайтеся, що ви замінили файли .crt і .key повним шляхом до файлу, включно з іменем файлу сертифіката та файлами ключів відповідно.
A. Витягніть закритий ключ і сертифікат із підписом ЦС із файлу PFX.
Приватний ключ: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Сертифікат CA: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Перевірте цілісність server.key і server.crt.

ПРИМІТКА. Переконайтеся, що вихідні дані показують однаковий хеш контрольної суми з цих двох виходів. Якщо вони різні, то є проблема. Якщо вони збігаються, переходимо до наступного кроку.
Приватний ключ: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Сертифікат CA: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Перетворіть приватний ключ, сертифікат сервера з підписом CA, кореневий CA (і будь-які проміжні сертифікати) у формат PEM.

Приватний ключ: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Сертифікат сервера з підписом CA: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Об'єднайте server.key.pem і sever.crt.pem у файл cakey.pem для NMC. Для цього рекомендується використовувати наступну команду PowerShell: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. Вимкніть службу GST сервера NMC:
net stop gstd
  1. Створіть копію оригінального файлу cakey.pem, а потім помістіть на його місце об'єднаний CA з підписом cakey.pem:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
ПРИМІТКА. Вам буде запропоновано перезаписати оригінал. Перезапишіть сертифікат, оскільки є копія оригіналу. Перезапис оригіналу гарантує, що право власності на файл і дозволи збережуться.
  1. Створіть копію файлів server.crt і server.key сервера NMC, потім замініть оригінальні файли на підписаний server.crt і server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Запустіть службу GST сервера NMC:
net start gstd
  1. Слідкуйте за C :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw на наявність будь-яких помилок.

NetWorker: Як використовувати nsr_render_log для відображення файлу журналу .raw

Верифікація:

Коли працює служба GST сервера NMC, порівняйте відбиток сертифіката з підписом ЦС із відбитком пальця сертифіката порту служби GST NMC (9000):

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

Відбиток пальця SHA256 цих двох команд повинен збігатися.

Приклад:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

Навіть після заміни самопідписаного сертифіката NMC на сертифікат із підписом ЦС під час підключення до сервера NMC із засобу запуску NMC може з'явитися таке попередження:

Центр сертифікації, який видав сертифікат, не є довіреним

Натисніть "Переглянути деталі сертифіката". Відомості про сертифікат підтверджують, що використовується сертифікат, підписаний ЦС. 

Попередження з'являється, оскільки підписаний сертифікат відсутній у довірених кореневих сертифікатах клієнта NMC.
 

ПРИМІТКА. Клієнт NMC – це будь-який хост, який використовується для доступу до NMC.

Це попередження можна проігнорувати; За бажанням, підписаний сертифікат ЦС сервера NMC також можна імпортувати в довірені кореневі сертифікати клієнта NMC:

  1. Помістіть підписаний сертифікат ЦС сервера NMC (<server.crt>) на хост клієнта NMC у вибрану папку.
  2. Відкрийте властивості сертифіката з підписом ЦС.
  3. Натисніть Встановити сертифікат.
  4. Виберіть Локальний комп'ютер.
  5. Виберіть Розмістити всі сертифікати в наступному сховищі.
  6. Натисніть Огляд.
  7. Виберіть «Довірені кореневі центри сертифікації», а потім натисніть «OK».
  8. Натисніть Далі.
  9. Натисніть Готово.
  10. З'явиться повідомлення про те, що якщо імпорт не вдалося або пройшов успішно, натисніть OK.
  11. У властивостях сертифіката з підписом ЦС натисніть кнопку OK.

Під час наступного запуску NMC попередження безпеки не з'являється.

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.