NetWorker:如何导入或替换 NMC 的证书颁发机构签名证书

Summary: 这些说明介绍了如何在 NetWorker Management Console (NMC) 服务器上将默认 NetWorker 自签名证书替换为 CA 签名证书。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

这些说明介绍了如何将默认 NetWorker 自签名证书替换为 NetWorker Management Console (NMC) 的 CA 签名证书。本知识库文章提供了有关 Windows 和 Linux NMC 服务器的说明。

以下特定于作系统的知识库文章详细介绍了将 NetWorker 服务器身份验证服务 (authc) 和 NetWorker Web 用户界面 (NWUI) 自签名证书替换为 CA 签名证书的过程:

涉及证书:

  • <server>.csr:NetWorker Management Console Server 证书签名请求

  • <server>.key:NetWorker Management Console 服务器私钥

  • <server>.crt:NetWorker Management Console 服务器 CA 签名证书

  • <CA>.crt:CA 根证书

  • <ICA.crt>:CA 中间证书(如有,可选用)

提醒:其中 <server> 是 NMC 服务器的短名称。

开始之前:

此过程使用 OpenSSL 实用程序。默认情况下,Linux作系统上提供此实用程序;但是,不包含在 Windows 系统中。请咨询系统管理员如何安装 OpenSSL。所需的 OpenSSL 版本因安装的 NetWorker 版本而异。

  • NetWorker 19.8 及更早版本需要 openssl 版本 1.0.2
  • NetWorker 19.9 至 19.11 需要 openssl 版本 1.1.1n 
提醒:使用 NetWorker 19.12.0.0 的 Linux 主机支持 OpenSSL 3.0.14。Windows 仍然需要 1.1.1n。
警告:如果使用了错误的 OpenSSL 版本,则 NMC 的 GSTD 进程无法启动 NetWorker:NMC GST 服务启动,然后在替换 cakey.pem 后立即关闭


可通过以下方式识别 OpenSSL 版本:

Linux: 
# openssl version
Windows:
  1. 从 Windows 文件资源管理器中,转至openssl.exe位置。此路径可能因 OpenSSL 的安装方式而异。
  2. 打开 openssl.exe 文件,然后转到 Details 选项卡。Product Version字段详细说明了 OpenSSL 版本:
OpenSSL 版本详细信息

或者,如果openssl.exe文件路径是系统 PATH 变量的一部分,您可以从和管理命令提示符运行“openssl version”命令;否则,您可以将目录 (CD) 更改为 openssl.exe 目录。

 

生成私钥和证书签名请求 (CSR) 文件以便提供给 CA。

  1. 在 NMC 服务器上,使用 OpenSSL 命令行实用程序创建 NetWorker 服务器私钥文件 (<server>.key) 和 CSR 文件 (<server>.csr)时,此方法起作用。
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
如果 C:\tmp 不存在,则 csr 和密钥文件可以放置在您选择的位置。
 
  1. 发送 CSR 文件 (<server>.csr) 复制到 CA 以生成 CA 签名的证书文件 (<server>.crt)时,此方法起作用。CA 应提供 CA 签名的证书文件 (<server>.crt)、根证书 (<CA>.crt) 以及任何中间 CA 证书 (<ICA>.crt)时,此方法起作用。

Linux NetWorker Management Console (NMC) 服务器:

  1. 获取 PFX 格式的单个密钥文件或单个文件中的 CA 签名证书。
  2. 如果 CA 签名的证书位于单个 PFX 文件中,则可以像使用 OpenSSL 工具一样提取私钥和 CA 签名证书(Windows 可能没有安装 OpenSSL,可以单独安装)。
提醒:执行此过程时,请确保将 .crt 和 .key 文件替换为完整的文件路径,包括相应地证书和密钥文件的文件名。
A.A. 从 PFX 文件中提取私钥和 CA 签名证书。
私钥: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 证书: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. 验证 server.key 和 server.crt 的完整性。

提醒:确保输出显示来自这两个输出的相同校验和哈希。如果它们不同,则存在问题。如果它们相同,请转至下一步。
私钥: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA 证书: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. 将私钥、CA 签名的服务器证书、根 CA(和任何中间证书)转换为 PEM 格式。

私钥: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA 签名的服务器证书: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
根 CA 证书: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
中间 CA 证书(如果可用): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. 将 server.key.pem、根 CA.crt、中间证书(如果可用)和签名的服务器证书合并到 NMC 的 cakey.pem 文件中: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. 关闭 NMC 服务器的 gst 服务:
# systemctl stop gst
  1. 复制现有 cakey.pem 文件,然后将默认文件替换为在步骤 2 D 中创建的文件。
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. 复制 NMC 服务器的 server.crt 和server.key文件,然后使用签名的 server.crt 替换原始文件,并server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
提醒:在发现任何问题时,您可以恢复到备份拷贝。使用 copy 命令覆盖原始文件可确保文件保留正确的所有权和权限。这些文件必须由具有 600 权限的默认 NMC 服务帐户 (nsrnmc) 拥有。
  1. 启动 NMC 服务器的 gst 服务:
# systemctl start gst
  1. 监视 NMC 服务器的 /opt/lgtonmc/logs/gstd.raw 是否有任何错误。

NetWorker:如何使用nsr_render_log呈现.raw日志文件

验证:

当 NMC 服务器的 gst 服务正在运行时,将 CA 签名证书的指纹与 NMC gst 服务端口 (9000) 的证书指纹进行比较:

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

这两个命令的 SHA256 指纹应匹配。

示例:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Windows NetWorker Management Console (NMC) 服务器:

  1. 获取 PFX 格式的单个密钥文件或单个文件中的 CA 签名证书。
  2. 如果 CA 签名的证书位于单个 PFX 文件中,则可以像使用 OpenSSL 工具一样提取私钥和 CA 签名证书(Windows 可能没有安装 OpenSSL,可以单独安装)。
提醒:执行此过程时,请确保将 .crt 和 .key 文件替换为完整的文件路径,包括相应地证书和密钥文件的文件名。
A.A. 从 PFX 文件中提取私钥和 CA 签名证书。
私钥: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 证书: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. 验证 server.key 和 server.crt 的完整性。

提醒:确保输出显示来自这两个输出的相同校验和哈希。如果它们不同,则存在问题。如果它们相同,请转至下一步。
私钥: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA 证书: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. 将私钥、CA 签名的服务器证书、根 CA(和任何中间证书)转换为 PEM 格式。

私钥: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA 签名的服务器证书: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. 将 server.key.pem 和 sever.crt.pem 合并到 NMC 的 cakey.pem 文件中。为此,建议使用以下 PowerShell 命令: 
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
  1. 关闭 NMC 服务器的 gst 服务:
net stop gstd
  1. 复制原始 cakey.pem,然后将组合的 CA 签名 cakey.pem 放在其位置:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
提醒:系统将提示您覆盖原始文件。覆盖证书,因为有原始证书的副本。覆盖原始文件可确保保留文件所有权和权限。
  1. 复制 NMC 服务器的 server.crt 和server.key文件,然后使用签名的 server.crt 替换原始文件,并server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. 启动 NMC 服务器的 gst 服务:
net start gstd
  1. 监视 NMC 服务器的 C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw 是否有任何错误。

NetWorker:如何使用nsr_render_log呈现.raw日志文件

验证:

当 NMC 服务器的 gst 服务正在运行时,将 CA 签名证书的指纹与 NMC gst 服务端口 (9000) 的证书指纹进行比较:

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

这两个命令的 SHA256 指纹应匹配。

示例:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Additional Information

即使在 NMC 的自签名证书已替换为 CA 签名的证书后,在从 NMC 启动程序连接到 NMC 服务器期间,您也可能会看到以下警告:

颁发证书的证书颁发机构不受信任

单击“View Certificate Details”。证书详细信息验证是否使用了 CA 签名的证书。 

出现警告是因为 NMC 客户端的受信任根证书中缺少签名证书。
 

提醒:NMC 客户端是用于访问 NMC 的任何主机。

可以忽略此警告;(可选)NMC 服务器的 CA 签名证书也可以导入到 NMC 客户端的受信任根证书中:

  1. 将 NMC 客户端主机上的 NMC 服务器的 CA 签名证书 (<server.crt>) 放在您选择的文件夹中。
  2. 打开 CA 签名的证书属性。
  3. 单击 安装证书
  4. 选择本地计算机
  5. 选择将所有证书放入以下存储。
  6. 单击 Browse
  7. 选择 Trusted Root Certification Authorities,然后单击 OK。
  8. 单击Next(下一步)
  9. 单击“Finish”(完成)
  10. 此时将显示一条消息,说明导入是失败还是成功,请单击OK。
  11. 在 CA 签名证书属性中,单击确定

在下一次 NMC 启动期间,不会显示安全警告。

Affected Products

NetWorker

Products

NetWorker Family
Article Properties
Article Number: 000269947
Article Type: How To
Last Modified: 12 Aug 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.