NetWorker: Cómo importar o reemplazar certificados firmados por una autoridad de certificación para NMC

Resumen: Estas instrucciones describen cómo reemplazar el certificado autofirmado predeterminado de NetWorker por un certificado firmado por una CA en un servidor de NetWorker Management Console (NMC). ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Instrucciones

Estas instrucciones describen cómo reemplazar el certificado autofirmado predeterminado de NetWorker por un certificado firmado por una CA para NetWorker Management Console (NMC). En este artículo de la base de conocimientos, se proporcionan instrucciones para los servidores NMC de Windows y Linux.

El proceso para reemplazar los certificados autofirmados de NetWorker Server Authentication Service (AUTHC) y de la interfaz de usuario web de NetWorker (NWUI) por certificados firmados por CA se detalla en los siguientes artículos específicos del sistema operativo:

Certificados involucrados:

  • <server>.csr: Solicitud de firma de certificado de NetWorker Management Console Server

  • <server>.key: Clave privada de NetWorker Management Console Server

  • <server>.crt: Certificado firmado por una CA del servidor de NetWorker Management Console

  • <CA>.crt: Certificado raíz de CA

  • <ICA>.crt: Certificado intermedio de CA (opcional si está disponible)

NOTA: Donde <server> es el nombre corto del servidor de NMC.

Antes de empezar:

En este proceso, se utiliza la utilidad OpenSSL. Esta utilidad se proporciona de forma predeterminada en los sistemas operativos Linux; sin embargo, no se incluye en los sistemas Windows. Consulte con el administrador del sistema sobre la instalación de OpenSSL. La versión requerida de OpenSSL difiere según la versión de NetWorker instalada.

  • NetWorker 19.9 a 19.11 requiere openssl versión 1.1.1n 
  • NetWorker 19.12.0.0 (solo Linux) es compatible con openssl versión 3.0.14
  • NetWorker 19.12.0.2 (solo Windows) es compatible con openssl versión 3.0.14
PRECAUCIÓN: Si se utiliza la versión incorrecta de OpenSSL, el proceso GSTD de NMC no puede iniciar NetWorker: El servicio GST de NMC se inicia y, a continuación, se apaga inmediatamente después de reemplazar cakey.pem.


La versión de OpenSSL se puede identificar a continuación:

Linux: 
# openssl version
Windows:
  1. En el Explorador de archivos de Windows, vaya a la ubicación del openssl.exe. Esta ruta puede variar según la forma en que se instaló OpenSSL.
  2. Abra el archivo openssl.exe y vaya a la pestañaDetalles de datos. En el campo Versión del producto, se detalla la versión de OpenSSL:
Detalles de la versión de OpenSSL

Alternativamente, si el openssl.exe La ruta de archivo es parte del sistema PATH puede ejecutar la variable 'openssl version' desde y la línea de comandos administrativa. Si el directorio que contiene openssl.exe no forma parte del sistema PATH, cambiar directorio (cd) al directorio que contiene openssl.exe.

Genere un archivo de clave privada y de solicitud de firma de certificado (CSR) para proporcionar a la CA.

  1. En el servidor NMC, utilice la utilidad de línea de comandos OpenSSL para crear el archivo de clave privada del servidor de NetWorker (<server>.key) y archivo CSR (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Los archivos csr y key se pueden colocar en la ubicación que usted elija si C:\tmp no existe.
 
  1. Enviar el archivo CSR (<server>.csr) a la CA para generar el archivo de certificado firmado por la CA (<server>.crt). La CA debe proporcionar el archivo de certificado firmado por la CA (<server>.crt), el certificado raíz (<CA>.crt), y cualquier certificado de CA intermedio (<ICA>.crt).

Servidores de NetWorker Management Console (NMC) de Linux:

  1. Obtenga los certificados firmados por la CA en archivos de clave individuales o en un solo archivo en formato PFX.
  2. Si los certificados firmados por CA se encuentran en un solo archivo PFX, la clave privada y el certificado firmado por CA se pueden extraer como con la herramienta OpenSSL (es posible que Windows no tenga OpenSSL instalado; se puede instalar por separado).
NOTA: Cuando siga este proceso, asegúrese de reemplazar el .crt y .key Archivos con la ruta de archivo completa, incluido el nombre de archivo del certificado y los archivos de clave según corresponda.
R. Extraiga la clave privada y el certificado firmado por una CA del archivo PFX.
Clave privada: 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certificación CA: 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Verificar la integridad de la server.key y server.crt.

NOTA: Asegúrese de que la salida muestre el mismo hash de suma de comprobación de estas dos salidas. Si son diferentes, hay un problema. Si son iguales, vaya al paso siguiente.
Clave privada: 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Certificación CA: 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Convierta la clave privada, el certificado del servidor firmado por una CA, la CA raíz (y cualquier certificado intermedio) al formato PEM.

Clave privada: 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Certificado de servidor firmado por una CA: 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Certificado de CA raíz: 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Certificado de CA intermedio (si está disponible): 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Combine el server.key.pem, raíz CA.crt, el certificado intermedio (si corresponde) y el certificado del servidor firmado en el cakey.pem para NMC: 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Apague el servidor de NMC gst Servicio:
# systemctl stop gst
  1. Haga una copia de la documentación existente cakey.pem y, a continuación, reemplace el archivo predeterminado por el archivo creado en el paso 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Haga una copia de la carpeta del servidor de NMC server.crt y server.key y, a continuación, sustituya los archivos originales por los firmados server.crt y server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
NOTA: Puede revertir a las copias de respaldo de cualquier problema que se observe. El uso del comando copy para sobrescribir los originales garantiza que los archivos conserven la propiedad y los permisos correctos. Estos archivos deben ser propiedad de la cuenta de servicio de NMC predeterminada (nsrnmc) con 600 permisos.
  1. Inicie el comando gst Servicio:
# systemctl start gst
  1. Monitoree / opt/lgtonmc/logs/gstd.raw del servidor NMC para detectar errores.

NetWorker: Cómo usar nsr_render_log para representar .raw archivo de registro

Verificación:

Cuando el servidor de NMC gst el servicio está en ejecución, compare la huella digital del certificado firmado por la CA con la huella digital del certificado de NMC gst Puerto de servicio (9000):

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

La huella digital SHA256 de estos dos comandos debe coincidir.

Ejemplo:

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Servidores de NetWorker Management Console (NMC) de Windows:

  1. Obtenga los certificados firmados por la CA en archivos de clave individuales o en un solo archivo en formato PFX.
  2. Si los certificados firmados por CA se encuentran en un solo archivo PFX, la clave privada y el certificado firmado por CA se pueden extraer como con la herramienta OpenSSL (Windows normalmente no tiene OpenSSL instalado, se puede instalar por separado).
NOTA: Cuando siga este proceso, asegúrese de reemplazar el .crt y .key Archivos con la ruta de archivo completa, incluido el nombre de archivo del certificado y los archivos de clave según corresponda.
R. Extraiga la clave privada y el certificado firmado por una CA del archivo PFX.
Clave privada: 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certificación CA: 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Verificar la integridad de la server.key y server.crt.

NOTA: Asegúrese de que la salida muestre el mismo hash de suma de comprobación de estas dos salidas. Si son diferentes, hay un problema. Si son iguales, vaya al paso siguiente.
Clave privada: 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Certificación CA: 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Convierta la clave privada, el certificado del servidor firmado por una CA, la CA raíz (y cualquier certificado intermedio) al formato PEM.

Clave privada: 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Certificado de servidor firmado por una CA: 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Combine el server.key.pem y sever.crt.pem en el cakey.pem para NMC. Se recomienda utilizar el siguiente comando de PowerShell para esto: 
PS C:\tmp> Get-Content server.key.pem,server.crt.pem | Out-File cakey.pem -Encoding ascii
NOTA: Si la solicitud en -Encoding ascii no está configurado, se puede observar el siguiente problema: NetWorker: NMC Server de Windows no puede iniciar el servicio GSTD después de reemplazar los certificados
  1. Apague el servidor de NMC gst Servicio:
net stop gstd
  1. Hacer una copia del original cakey.pemy, a continuación, coloque la CA combinada firmada cakey.pem en su lugar:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
NOTA: Se le solicitará que sobrescriba el original. Sobrescribir el certificado, ya que hay una copia del original. Sobrescribir el original garantiza que se conserven la propiedad y los permisos del archivo.
  1. Haga una copia de la carpeta del servidor de NMC server.crt y server.key y, a continuación, sustituya los archivos originales por los firmados server.crt y server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Inicie el comando gst Servicio:
net start gstd
  1. Monitoree C :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw del servidor NMC para detectar errores.

NetWorker: Cómo usar nsr_render_log para representar .raw archivo de registro

Verificación:

Cuando el servidor de NMC gst el servicio está en ejecución, compare la huella digital del certificado firmado por la CA con la huella digital del certificado de NMC gst Puerto de servicio (9000):

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

La huella digital SHA256 de estos dos comandos debe coincidir.

Ejemplo:

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Información adicional

Incluso después de reemplazar el certificado autofirmado de NMC por un certificado firmado por una CA, es posible que vea la siguiente advertencia durante la conexión a un servidor de NMC desde el iniciador de NMC:

La autoridad de certificación que emitió el certificado no es de confianza

Haga clic en "View Certificate Details". Los detalles del certificado validan que se utilice el certificado firmado por una CA. 

La advertencia aparece porque falta el certificado firmado en los certificados raíz de confianza del cliente NMC.
 

NOTA: Un cliente de NMC es cualquier host que se utiliza para acceder a NMC.

Esta advertencia se puede ignorar; De manera opcional, el certificado firmado por CA del servidor de NMC también se puede importar a los certificados raíz de confianza del cliente de NMC:

  1. Coloque el certificado firmado por CA del servidor de NMC (<server.crt>) en el host del cliente de NMC en una carpeta de su elección.
  2. Abra las propiedades del certificado firmado por una CA.
  3. Haga clic en Instalar certificado.
  4. Seleccione Local Machine.
  5. Seleccione Place all certificates in the following store.
  6. Haga clic en Examinar.
  7. Seleccione Autoridades de certificación raíz de confianza y, a continuación, haga clic en Aceptar.
  8. Haga clic en Siguiente.
  9. Haga clic en Finalizar.
  10. Aparece un mensaje que indica si la importación falló o se realizó correctamente. Haga clic en OK.
  11. En las propiedades del certificado firmado por una CA, haga clic en Aceptar.

Durante el próximo inicio de NMC, la advertencia de seguridad no aparece.

Productos afectados

NetWorker, NetWorker Management Console

Productos

NetWorker Family
Propiedades del artículo
Número del artículo: 000269947
Tipo de artículo: How To
Última modificación: 16 dic 2025
Versión:  6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.