NetWorker. Импорт или замена сертификатов, подписанных центром сертификации, для «AUTHC» и «NWUI» (Linux)

В данных инструкциях описывается замена самозаверяющего сертификата NetWorker по умолчанию сертификатом, подписанным ИС, для служб проверки подлинности NetWorker (AUTHC) и веб-интерфейса пользователя NetWorker (NWUI) на сервере NetWorker.

Требования к именованию файлов не требуются, но для типа файла следует ссылаться на расширения. Примеры команд приведены для Linux. Инструкции для Windows см. в
разделе NetWorker. Импорт или замена сертификатов, подписанных центром сертификации, для «AUTHC» и «NWUI» (Windows)
 

Используемые файлы сертификатов:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Используемые хранилища ключей:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Создайте закрытый ключ и файл запроса на заверение сертификата (CSR) для предоставления вашему CA.

• Используйте утилиту командной строки OpenSSL для создания файла закрытого ключа сервера NetWorker (<server>.key) и файл CSR (<server>.csr).

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• Отправьте файл CSR (<server>.csr) в CA для создания файла сертификата, подписанного CA (<server>.crt). CA должен предоставить файл сертификата, подписанный CA (<server>.crt), корневой сертификат (<CA>.crt), а также любые промежуточные сертификаты CA<ICA>.crt).

Этапы предварительной проверки:

Убедитесь в наличии следующего:

• server.crt, содержащий сертификат PEM, первая строка которого — -----BEGIN CERTIFICATE----- а последняя — -----END CERTIFICATE-----
• Файл ключа начинается с -----BEGIN RSA PRIVATE KEY----- и заканчивается словами -----END RSA PRIVATE KEY-----
• Убедитесь, что все сертификаты являются действительными файлами формата PEM, выполнив команду openssl x509 -in <cert> -text -noout.
• Проверьте указанные выше выходные данные, чтобы убедиться в том, что это правильный сертификат.
• Проверьте выходные данные следующих двух команд:

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  Выходные данные этих двух команд должны совпадать.

Для упрощения шагов и команд, описанных ниже, мы создаем следующие переменные:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Если имеется несколько промежуточных сертификатов, создайте переменные для каждого сертификата: ICA1, ICA2 и т. д

. Необходимо знать правильные пароли хранилища ключей NetWorker. Эти пароли задаются во время настройки AUTHC и NWUI. Если вы не уверены, см.:

• Как получить аутентификацию NetWorker и пароль хранилища ключей службы NWUI

Вы также можете использовать переменные передачи хранилища ключей (вариант 1) или сохранить их в файле, чтобы скрыть пароль (вариант 2):
Пример для варианта 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Пример для варианта 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Прежде чем приступить, обратите внимание на следующее.

Создайте резервную копию файла Java cacerts. 

cp -p /opt/nre/java/latest/lib/security/cacerts /tmp/cacerts_$(date -I).bkp

Этапы замены сертификата службы аутентификации:

Переменная authc Для выполнения описанной ниже процедуры не обязательно останавливать обслуживание. Однако для загрузки новых сертификатов его необходимо перезапустить.

1. Импорт сертификатов

   • Импортируйте корневой сертификат (<CA>.crt) и любые промежуточные сертификаты CA (<ICA>.crt) в authc.keystore.

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • Используйте файл закрытого ключа сервера NetWorker (<server>.key) и новый файл сертификата, подписанного ИС (<server>.crt) для создания файла хранилища PKCS12 для emcauthctomcat и emcauthcsaml Псевдоним.

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     ПРИМЕЧАНИЕ. Пароль файла pkcs12 должен совпадать с паролем хранилища ключей. Вот почему в данном случае мы создадим его с помощью метода authc StorePass.

   • Импортируйте файлы хранилища PKCS12 в authc.keystore.

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Импортируйте файлы хранилища PKCS12 в authc.truststore.

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Удалите самозаверяющий сертификат NetWorker по умолчанию и импортируйте новый файл сертификата, подписанного ИС (<server>.crt) в authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • Наконец, импортируйте этот сертификат в файл хранилища ключей Java cacerts в emcauthctomcat Псевдоним:

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

     ПРИМЕЧАНИЕ. При использовании NetWorker 19.13 (или более поздней версии) keytool Команды могут возвращать предупреждение при импорте cacerts Сертификаты. В предупреждении говорится, что нужно использовать -cacerts вместо -keystore. Это можно смело игнорировать, несмотря на предупреждение, синтаксис, показанный в этой статье, все равно импортирует сертификаты. В качестве альтернативы можно заменить "-keystore $java_bin/../lib/security/cacerts" с "-cacerts" в командах; Предупреждение будет удалено.

2. Отредактируйте файл admin_service_default_url=localhost значение в поле authc-cli-app.properties для отражения имени сервера NetWorker, которое используется в файле сертификата, подписанного ИС:

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. Перезапуск служб NetWorker необходим для authc , чтобы использовать новый импортированный сертификат.

nsr_shutdown 
systemctl start networker

4. Восстановить authc Доверие на сервере NetWorker:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Постпроверки AUTHC:

Выходные данные каждого псевдонима «Отпечаток сертификата» совпадают с псевдонимами других хранилищ ключей:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Выходные данные должны быть примерно такими же, как показано ниже:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Это отпечаток сертификата, который был установлен. Это указывает на то, что новый сертификат был правильно добавлен в различные хранилища ключей.

openssl x509 -in $cert -fingerprint -sha256 -noout

Если у authc Служба запущена и работает, можно проверить, что сертификат, который она предоставляет входящему подключению, совпадает с указанным выше:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

Кроме того, можно проверить субъект и издатель сертификата, который используется портом 9090:

openssl s_client -connect localhost:9090 -showcerts 2>/dev/null </dev/null | grep -E "issuer|subject"

Пользовательский интерфейс NetWorker (nwui) Этапы замены сервисного сертификата:

Мы предполагаем, что метод nwui службы выполняются на сервере NetWorker.

• Остановите nwui Службы

  systemctl stop nwui

• Удалите самозаверяющие сертификаты NetWorker по умолчанию и импортируйте новый файл сертификата, подписанного ИС (<server>.crt) в хранилище ключей cacerts. Для единообразия мы заменяем все nwui-связанные сертификаты с сертификатом, подписанным ИС.

  • Перед выполнением следующих действий необходимо определить, используется ли среда выполнения NetWorker (NRE) или Java Runtime Environment (JRE).
  • Если используется JRE, путь /cacerts имеет следующий адрес: $java_bin/../lib/security/cacerts.
  • Если используется NRE, путь /cacerts имеет следующий /opt/nre/java/latest/lib/security/cacerts.

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

    ПРИМЕЧАНИЕ. При использовании NetWorker 19.13 (или более поздней версии) keytool Команды могут возвращать предупреждение при импорте cacerts Сертификаты. В предупреждении говорится, что нужно использовать -cacerts вместо -keystore. Это можно смело игнорировать, несмотря на предупреждение, синтаксис, показанный в этой статье, все равно импортирует сертификаты. В качестве альтернативы можно заменить "-keystore $java_bin/../lib/security/cacerts" с "-cacerts" в командах; Предупреждение будет удалено.

• Используйте файл закрытого ключа сервера NetWorker (<server>.key) и новый файл сертификата, подписанного ИС (<server>.crt) для создания файла хранилища PKCS12 для emcauthctomcat и emcauthcsaml псевдоним для nwui операционной среды служб аутентификации.

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  ПРИМЕЧАНИЕ. Пароль файла pkcs12 должен совпадать с паролем хранилища ключей. Вот почему в данном случае мы создадим его с помощью метода nwui StorePass.

• Импортируйте файлы .p12, сертификат корневого центра сертификации и сертификаты промежуточного источника сертификатов в nwui операционной среды служб аутентификации.

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• Переименуйте emcnwuimonitoring, emcnwuiauthcи emcnwuiserv certificates, и поместите сертификат сервера в этот путь с таким же именем. Вам будет предложено перезаписать исходные файлы (это сохранит существующие права собственности и разрешения)

  cp -p /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv -p /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  
  cp -p /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer

  ПРИМЕЧАНИЕ. Вам будет предложено перезаписать исходные файлы (это сохранит существующие права собственности и разрешения)

• nwui Действия по замене сертификата PostgreSQL

  cp -p $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
  cp -p $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
  cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
  cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

  ПРИМЕЧАНИЕ. Вам будет предложено перезаписать исходные файлы (это сохранит существующие права собственности и разрешения)

• Запустите nwui Услуги

  systemctl start nwui

nwui Постпроверка:

Выходные данные каждого псевдонима «Отпечаток сертификата» совпадают с псевдонимами других хранилищ ключей:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Это отпечаток сертификата, который был установлен. Это указывает на то, что новый сертификат был правильно добавлен в различные хранилища ключей.

openssl x509 -in $cert -fingerprint -sha256 -noout

Кроме того, можно проверить субъект и издатель сертификата, который используется портом 9090:

openssl s_client -connect localhost:9095 -showcerts 2>/dev/null </dev/null | grep -E "issuer|subject"

Консоль управления NetWorker:

Данная тема рассматривается в статье: NetWorker. Импорт или замена сертификатов, подписанных центром сертификации, для NMC

Строгая безопасность транспорта NetWorker HTTP (HSTS):

NetWorker. Как включить конфигурацию HSTS на сервере NetWorker Apache Tomcat

Следующие инструкции можно использовать для возврата к cacerts Копия файла создана до написания этой статьи. Приведенный ниже процесс также сбрасывает NetWorker к использованию самозаверяющих сертификатов по умолчанию для AUTHC и NWUI. 

1. Убедитесь, что у вас есть резервная копия. Если использовалась команда Before you start , у вас должна быть датированная копия cacerts в файле сервера /tmp . Пример.

[root@nsr ~]# ls -l /tmp | grep cacerts
-rwxr-xr-x. 1 root      root      129266 Mar 23 14:44 cacerts_2026-03-23.bkp

2. Остановите службы NetWorker.

systemctl stop nwui
nsr_shutdown

3. Убедитесь, что службы NetWorker не запущены:

systemctl status networker
systemctl status nwui

4. Скопируйте файлы cacerts обратно в их исходное местоположение:

rsync -a --no-perms --no-owner --no-group /tmp/cacerts_<date>.bkp /opt/nre/java/latest/lib/security/cacerts

5. Повторно запустите authc_configure.sh и укажите опцию создания нового хранилища ключей. Пример:

[root@nsr ~]# /opt/nsr/authc-server/scripts/authc_configure.sh

Specify the directory where the Java Standard Edition Runtime Environment (JRE) software is installed [/opt/nre/java/latest]:

The installation process will install an Apache Tomcat instance.
For optimum security, EMC NetWorker Authentication Service will
use a non-root user (nsrtomcat) to start the Apache Tomcat instance.
If your system has special user security requirements, ensure that proper
operational permissions are granted to this non-root user (nsrtomcat).
Please refer to NetWorker Installation Guide.

The Apache Tomcat will use "nsr.amer.lan" as the host name.
The Apache Tomcat will use "9090" as the port number.

The NetWorker Authentication Service requires a keystore file to configure encryption and to provide SSL support.

EMC recommends that you specify a keystore password that has a minimum of six characters.

Do you want to use the existing keystore /nsr/authc/conf/authc.keystore [y]? n

The installation process will create a new keystore file.

Specify the keystore password: HIDDEN_PASSWORD
Confirm the password: HIDDEN_PASSWORD

Creating the installation log in /opt/nsr/authc-server/logs/install.log.

Performing initialization. Please wait...


The installation completed successfully.

6. Запустите службы сервера NetWorker:

systemct start networker

7. Используйте nwui_configure.sh и укажите опцию создания нового хранилища ключей. Пример:

[root@nsr ~]# mv /nsr/nwui /nsr/nwui_$(date -I).bak
[root@nsr ~]# /opt/nwui/scripts/nwui_configure.sh

Specify the directory where the Java Standard Edition Runtime Environment (JRE) software is installed [/opt/nre/java/latest]:

Specify the host name of the NetWorker Authentication Service host [nsr.amer.lan]:

Specify the host name of the NetWorker Server to be Managed by NWUI [nsr.amer.lan]:

Specify the AUTHC port for Networker Server which is managed by NWUI [9090]:

The NetWorker Web UI Server requires a keystore file to configure encryption and to provide SSL support.
EMC recommends that you specify a password that has a minimum of nine characters,
with at least one upper case letter, one lower case letter, one number and one special character.

The installation process will create a new keystore file.

Specify the keystore password: HIDDEN_PASSWORD
Confirm the password: HIDDEN_PASSWORD

9. Запустите службу NWUI.

systemctl start nwui

10. Убедитесь, что службы запущены:

systemctl status networker
systemctl status nwui

Сервер должен работать с использованием самозаверяющих сертификатов по умолчанию, которые NetWorker развертывает по умолчанию.