NetWorker : comment importer ou remplacer les certificats signés par l’autorité de certification pour NMC

Résumé: Ces instructions expliquent comment remplacer le certificat auto-signé NetWorker par défaut par un certificat signé par une autorité de certification sur un serveur NetWorker Management Console (NMC). ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Ces instructions décrivent comment remplacer le certificat auto-signé NetWorker par défaut par un certificat signé par une autorité de certification pour NetWorker Management Console (NMC). Cet article de la base de connaissances fournit des instructions pour les serveurs NMC Windows et Linux.

Le processus de remplacement des certificats auto-signés du NetWorker Server Authentication Service (AUTHC) et de l’interface utilisateur Web NetWorker (NWUI) par des certificats signés par une autorité de certification est décrit dans les articles suivants spécifiques au système d’exploitation :

Certificats concernés :

  • <server>.csr: Requête de signature de certificat NetWorker Management Console Server

  • <server>.key: Clé privée du serveur NetWorker Management Console

  • <server>.crt: Certificat signé par l’autorité de certification du serveur NetWorker Management Console

  • <CA>.crt: certificat racine de l’autorité de certification

  • <ICA>.crt: certificat intermédiaire de l’autorité de certification (facultatif, si disponible)

Remarque : Où <server> est le nom abrégé du serveur NMC.

Avant de commencer :

Ce processus utilise l’utilitaire OpenSSL. Cet utilitaire est fourni par défaut sur les systèmes d’exploitation Linux ; Toutefois, elle n’est pas incluse sur les systèmes Windows. Consultez l’administrateur système concernant l’installation d’OpenSSL. La version requise d’OpenSSL varie en fonction de la version de NetWorker installée.

  • NetWorker 19.9 à 19.11 nécessite openssl version 1.1.1n 
  • NetWorker 19.12.0.0 (Linux uniquement) prend en charge openssl version 3.0.14
  • NetWorker 19.12.0.2 (Windows uniquement) prend en charge openssl version 3.0.14
AVERTISSEMENT : Si une version incorrecte d’OpenSSL est utilisée, le processus GSTD de NMC ne parvient pas à démarrer NetWorker : Le service GST NMC démarre, puis s’arrête immédiatement après le remplacement de cakey.pem.


La version d’OpenSSL peut être identifiée comme suit :

Linux : 
# openssl version
Windows. :
  1. Dans l’Explorateur de fichiers Windows, accédez à l’emplacement openssl.exe. Ce chemin peut varier en fonction de la façon dont OpenSSL a été installé.
  2. Ouvrez le fichier openssl.exe et accédez à l’ongletDétails . Le champ Product Version détaille la version d’OpenSSL :
Informations détaillées sur la version d’OpenSSL

Sinon, si l’option openssl.exe Le chemin d’accès au fichier fait partie du système PATH , vous pouvez exécuter la commande 'openssl version' à partir de l’invite de commande d’administration. Si le répertoire contenant openssl.exe ne fait pas partie du système PATH, changer de répertoire (cd) dans le répertoire contenant openssl.exe.

Générez un fichier de clé privée et de demande de signature de certificat (CSR) à fournir à votre autorité de certification.

  1. Sur le serveur NMC, utilisez l’utilitaire de ligne de commande OpenSSL pour créer le fichier de clé privée du NetWorker Server (<server>.key) et fichier CSR (<server>.csr).
    Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windows. :

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
Les fichiers csr et de clé peuvent être placés à l’emplacement de votre choix si C :\tmp n’existe pas.
 
  1. Envoyez le fichier CSR (<server>.csr) à l’autorité de certification pour générer le fichier de certificat signé par une autorité de certification (<server>.crt). L’autorité de certification doit fournir le fichier de certificat signé par l’autorité de certification (<server>.crt), le certificat racine (<CA>.crt) et tous les certificats d’autorité de certification intermédiaires (<ICA>.crt).

Serveurs NetWorker Management Console (NMC) Linux :

  1. Obtenez les certificats signés par l’autorité de certification dans des fichiers de clés individuels ou dans un fichier unique au format PFX.
  2. Si les certificats signés par l’autorité de certification se trouvent dans un seul fichier PFX, la clé privée et le certificat signé par l’autorité de certification peuvent être extraits comme avec l’outil OpenSSL (OpenSSL peut ne pas être installé sur Windows, il peut être installé séparément).
Remarque : En suivant ce processus, assurez-vous de remplacer le .crt et .key fichiers avec le chemin d’accès complet, y compris le nom de fichier de votre certificat et les fichiers de clé correspondants.
A. Extrayez la clé privée et le certificat signé par une autorité de certification à partir du fichier PFX.
Clé privée : 
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certification CA : 
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Vérifier l’intégrité de l' server.key et server.crt.

Remarque : Assurez-vous que la sortie affiche le même hachage de somme de contrôle à partir de ces deux sorties. S’ils sont différents, il y a un problème. S’ils sont identiques, passez à l’étape suivante.
Clé privée : 
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
Certification CA : 
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum

C. Convertissez la clé privée, le certificat de serveur signé par une autorité de certification, l’autorité de certification racine (et tous les certificats intermédiaires) au format PEM.

Clé privée : 
# openssl rsa -in <server>.key -outform pem -out server.key.pem
Certificat de serveur signé par une autorité de certification : 
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
Certificat d’autorité de certification racine : 
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
Certificat CA intermédiaire (si disponible) : 
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. Combinez les server.key.pemRacine CA.crt, le certificat intermédiaire (le cas échéant) et le certificat de serveur signé dans le cakey.pem fichier pour NMC : 
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. Arrêtez le serveur NMC gst Service:
# systemctl stop gst
  1. Effectuez une copie des documents cakey.pem , puis remplacez le fichier par défaut par le fichier créé à l’étape 2, D.
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
  1. Effectuez une copie du fichier du serveur NMC server.crt et server.key fichiers, puis remplacez les fichiers d’origine par les fichiers signés server.crt et server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
Remarque : Vous pouvez revenir aux copies de sauvegarde de tous les problèmes observés. L’utilisation de la commande copy pour écraser les originaux garantit que les fichiers conservent la propriété et les autorisations appropriées. Ces fichiers doivent être détenus par le compte de service NMC par défaut (nsrnmc) avec 600 Autorisations.
  1. Démarrage du serveur NMC gst Service:
# systemctl start gst
  1. Surveillez / opt/lgtonmc/logs/gstd.raw du serveur NMC pour détecter d’éventuelles erreurs.

NetWorker : Utiliser nsr_render_log pour afficher .raw fichier journal

Vérification :

Lorsque le serveur NMC gst service est en cours d’exécution, comparez l’empreinte digitale du certificat signé par l’autorité de certification avec l’empreinte digitale du certificat de la NMC gst Port de service (9000) :

# openssl x509 -in <server>.crt -fingerprint -sha256 -noout
# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

L’empreinte SHA256 de ces deux commandes doit correspondre.

Exemple :

[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

[root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2

 

Serveurs NetWorker Management Console (NMC) Windows :

  1. Obtenez les certificats signés par l’autorité de certification dans des fichiers de clés individuels ou dans un fichier unique au format PFX.
  2. Si les certificats signés par l’autorité de certification se trouvent dans un seul fichier PFX, la clé privée et le certificat signé par l’autorité de certification peuvent être extraits comme avec l’outil OpenSSL (OpenSSL n’est généralement pas installé sous Windows, il peut être installé séparément).
Remarque : En suivant ce processus, assurez-vous de remplacer le .crt et .key fichiers avec le chemin d’accès complet, y compris le nom de fichier de votre certificat et les fichiers de clé correspondants.
A. Extrayez la clé privée et le certificat signé par une autorité de certification à partir du fichier PFX.
Clé privée : 
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
Certification CA : 
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys

B. Vérifier l’intégrité de l' server.key et server.crt.

Remarque : Assurez-vous que la sortie affiche le même hachage de somme de contrôle à partir de ces deux sorties. S’ils sont différents, il y a un problème. S’ils sont identiques, passez à l’étape suivante.
Clé privée : 
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
Certification CA : 
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256

C. Convertissez la clé privée, le certificat de serveur signé par une autorité de certification, l’autorité de certification racine (et tous les certificats intermédiaires) au format PEM.

Clé privée : 
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
Certificat de serveur signé par une autorité de certification : 
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. Combinez les server.key.pem et sever.crt.pem dans le cakey.pem pour NMC. Il est recommandé d’utiliser la commande PowerShell suivante pour cela : 
PS C:\tmp> Get-Content server.key.pem,server.crt.pem | Out-File cakey.pem -Encoding ascii
Remarque : Si la demande -Encoding ascii n’est pas défini, le problème suivant peut être observé : NetWorker : Le serveur NMC Windows ne parvient pas à démarrer le service GSTD après le remplacement des certificats
  1. Arrêtez le serveur NMC gst Service:
net stop gstd
  1. Faire une copie de l’original cakey.pem, puis placez l’AC combinée signée cakey.pem À sa place :
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
Remarque : Vous êtes invité à écraser l’original. Écrasez le certificat, car il existe une copie de l’original. L’écrasement de l’original garantit que la propriété et les autorisations du fichier sont conservées.
  1. Effectuez une copie du fichier du serveur NMC server.crt et server.key fichiers, puis remplacez les fichiers d’origine par les fichiers signés server.crt et server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
  1. Démarrage du serveur NMC gst Service:
net start gstd
  1. Surveillez C  :\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw du serveur NMC pour détecter d’éventuelles erreurs.

NetWorker : Utiliser nsr_render_log pour afficher .raw fichier journal

Vérification :

Lorsque le serveur NMC gst service est en cours d’exécution, comparez l’empreinte digitale du certificat signé par l’autorité de certification avec l’empreinte digitale du certificat de la NMC gst Port de service (9000) :

%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout
%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256

L’empreinte SHA256 de ces deux commandes doit correspondre.

Exemple :

C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE

Informations supplémentaires

Même après le remplacement du certificat auto-signé de NMC par un certificat signé par une autorité de certification, l’avertissement suivant peut s’afficher lors de la connexion à un serveur NMC à partir du lanceur NMC :

L’autorité de certification qui a émis le certificat n’est pas approuvée

Cliquez sur « View Certificate Details ». Les détails du certificat confirment que le certificat signé par une autorité de certification est utilisé. 

L’avertissement s’affiche, car le certificat signé est absent des certificats racines de confiance du client NMC.
 

Remarque : Un client NMC est n’importe quel hôte utilisé pour accéder à NMC.

Cet avertissement peut être ignoré ; Si vous le souhaitez, le certificat signé par l’autorité de certification du serveur NMC peut également être importé dans les certificats racines de confiance du client NMC :

  1. Placez le certificat signé par l’autorité de certification du serveur NMC (<server.crt>) sur l’hôte client NMC dans un dossier de votre choix.
  2. Ouvrez les propriétés du certificat signé par une autorité de certification.
  3. Cliquez sur Install Certificate.
  4. Sélectionnez Local Machine.
  5. Sélectionnez Placer tous les certificats dans le magasin suivant.
  6. Cliquez sur Parcourir.
  7. Sélectionnez Autorités de certification racines de confiance, puis cliquez sur OK.
  8. Cliquez sur Next (Suivant).
  9. Cliquez sur Finish (Terminer).
  10. Un message s’affiche indiquant si l’importation a échoué ou réussi, cliquez sur OK.
  11. Dans les propriétés du certificat signé par une autorité de certification, cliquez sur OK.

Lors du lancement suivant de NMC, l’avertissement de sécurité ne s’affiche pas.

Produits concernés

NetWorker, NetWorker Management Console

Produits

NetWorker Family
Propriétés de l’article
Numéro d’article: 000269947
Type d’article: How To
Dernière modification: 16 déc. 2025
Version:  6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.