NetWorker. Импорт или замена сертификатов, подписанных источником сертификатов, для «AUTHC» и «NWUI» (Windows)

Сводка: Ниже приведены общие действия по замене самозаверяющего сертификата NetWorker по умолчанию сертификатом, подписанным источником сертификатов (CA) для служб «AUTHC» и «NWUI». Эта статья базы знаний применяется, когда сервер NetWorker и сервер веб-интерфейса пользователя NetWorker (NWUI) установлены в операционных системах Windows. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

В данных инструкциях описывается замена самозаверяющего сертификата NetWorker по умолчанию сертификатом, подписанным ИС, для служб AUTHC и NWUI на сервере NetWorker.

Требования к именованию файлов не требуются, но для типа файла следует ссылаться на расширения. Показанные примеры команд предназначены для Windows. Инструкции для Linux см. в
разделе NetWorker. Импорт или замена сертификатов, подписанных центром сертификации, для «Authc» и «NWUI» (Linux)
 

ПРИМЕЧАНИЕ. Для описанного процесса требуется утилита командной строки OpenSSL. OpenSSL по умолчанию не включен в операционные системы Windows. Если утилита OpenSSL не установлена, проконсультируйтесь с системным администратором по установке OpenSSL, прежде чем продолжать работу с этой статьей базы знаний.

Задействованные файлы сертификатов:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Задействованные хранилища ключей:

Название магазина Путь по умолчанию
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
ПРИМЕЧАНИЕ. Показанные пути являются путями установки по умолчанию; Однако путь установки определяется пользователем и может быть установлен в другом месте. Если использовались пути, отличные от путей по умолчанию, используйте пути установки с вашего сервера. Путь Java в NetWorker Runtime Environment (NRE) различается в зависимости от установленной версии NRE, так как от этого зависит и установленная версия java.

Прежде чем начать:

Создайте копии следующих файлов и папок в другом месте:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Создайте закрытый ключ и файл запроса на заверение сертификата (CSR) для предоставления вашему CA.

  1. Откройте командную строку администратора и выполните следующие команды:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Отправьте файл CSR (<server>.csr) в CA, чтобы создать файл сертификата с подписью CA (<server>.crt). Источник сертификатов должен предоставить файл сертификата, подписанного ИС (<server.crt>), корневой сертификат (<CA.crt>) и любые промежуточные сертификаты источника сертификатов (<ICA.crt>).

Этапы предварительной проверки:

Необходимо знать правильные пароли хранилища ключей NetWorker. Эти пароли задаются во время настройки AUTHC и NWUI. Если вы не уверены, см.:

Для облегчения шагов и команд, описанных ниже, мы создадим следующие переменные из командной строки администратора:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
ПРИМЕЧАНИЕ. Значения этих переменных зависят от среды. Значения необходимо устанавливать в соответствии с системными путями и учетными данными, используемыми в вашей системе. Эти переменные ограничены сеансом командной строки. После закрытия окна командной строки переменные будут отменены. Если имеется несколько промежуточных сертификатов, создайте переменные для каждого сертификата: ICA1, ICA2 и т. д.

Убедитесь в наличии следующего:

  • server.crt, содержащий сертификат PEM, первая строка которого — -----BEGIN CERTIFICATE----- а последняя — -----END CERTIFICATE-----
  • Файл ключа начинается с -----BEGIN RSA PRIVATE KEY----- и заканчивается словами -----END RSA PRIVATE KEY-----
  • Убедитесь, что все сертификаты являются действительными файлами формата PEM, выполнив команду openssl x509 -in <cert> -text -noout
  • Проверьте указанные выше выходные данные, чтобы убедиться в том, что это правильный сертификат.
  • Проверьте выходные данные следующих двух команд: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Выходные данные этих двух команд должны совпадать.

Этапы замены сертификата службы аутентификации:

Переменная authc Для выполнения описанной ниже процедуры не обязательно останавливать обслуживание. Однако для загрузки новых сертификатов его необходимо перезапустить.

  1. Импорт сертификатов:
  • Импортируйте корневой сертификат (<CA.crt>) и все промежуточные сертификаты CA (<ICA.crt>) в хранилище ключей authc.key:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Используйте файл закрытого ключа сервера NetWorker (<server>.key) и новый файл сертификата, подписанного ИС (<server.crt>), чтобы создать файл хранилища PKCS12 для emcauthctomcat и emcauthcsaml псевдоним.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Импортируйте файлы хранилища PKCS12 в хранилище ключей authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Импортируйте файлы хранилища PKCS12 в хранилище authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Удалите самозаверяющий сертификат NetWorker по умолчанию и импортируйте новый сертификат, подписанный ИС 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Наконец, импортируйте этот сертификат в файл хранилища ключей Java cacerts в emcauthctomcat псевдоним:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Отредактируйте значение admin_service_default_url=localhost в файле C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties, чтобы оно отражало имя сервера NetWorker, используемое в файле сертификата, подписанного ИС:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Чтобы AUTHC могла использовать новый импортированный сертификат, требуется перезапуск служб NetWorker.
net stop nsrd
net start nsrd
  1. Восстановите доверие AUTHC на сервере NetWorker.
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Постпроверки AUTHC:

  1. Подтвердите отпечаток импортированного сертификата:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Пример. 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Создайте выходные файлы для cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Просмотрите выходной файл и убедитесь, что отображается emcauthctomcat и что отпечаток сертификата совпадает с отпечатком пальца из шага 1:
Отпечаток сертификата совпадает со отпечатком пальца импортированного сертификата
  1. Проверьте authc.truststore и authc.keystore и убедитесь, что emcauthctomcat и emcauthcsaml Отпечатки сертификатов совпадают с отпечатками пальцев из шага 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Когда служба AUTHC включена и запущена, можно проверить, что сертификат, который она предоставляет входящему подключению, совпадает с приведенным выше:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Пример. 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Пользовательский интерфейс NetWorker (nwui) Этапы замены сервисного сертификата:

Мы предполагаем, что метод nwui службы выполняются на сервере NetWorker.
  1. Остановите службу NWUI:
net stop nwui
  1. Удалите самозаверяющие сертификаты NetWorker по умолчанию и импортируйте новый файл сертификата, подписанного CA (<server>.crt), в хранилище ключей cacerts. Для обеспечения согласованности мы заменяем все сертификаты, связанные с nwui, сертификатом, подписанным CA.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Используйте файл закрытого ключа сервера NetWorker (<server>.key) и новый файл сертификата, подписанного ИС (<server.crt>), чтобы создать файл хранилища PKCS12 для emcauthctomcat и emcauthcsaml Псевдоним хранилища ключей NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
ПРИМЕЧАНИЕ. Пароль файла pkcs12 должен совпадать с паролем хранилища ключей. Именно поэтому в этом случае мы создаем его с помощью nwui storepass.
  1. Импортируйте файлы .p12, сертификат корневого источника сертификатов и сертификаты промежуточного источника сертификатов в хранилище ключей nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Переименуйте emcnwuimonitoring certificate, и поместите сертификат сервера в этот путь с таким же именем.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Запустите службу NWUI.
net start nwui

nwui Постпроверка:

  1. Подтвердите отпечаток импортированного сертификата:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Пример. 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Создайте выходные файлы для cacerts
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Просмотрите выходной файл и убедитесь, что отображается emcauthctomcat и что отпечаток сертификата совпадает с отпечатком пальца из шага 1:
Отпечаток сертификата совпадает со отпечатком пальца импортированного сертификата
  1. Проверьте nwui.keystore и убедитесь, что метод emcauthctomcat Отпечатки сертификатов совпадают с отпечатками пальцев из шага 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Когда служба NWUI включена и работает, можно проверить, что сертификат, который она предоставляет входящему подключению, совпадает с указанным выше:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Пример. 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Действия по замене сертификата PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Проверьте право собственности на эти файлы и убедитесь, что они принадлежат ЛОКАЛЬНОЙ СЛУЖБЕ системной учетной записи.

server.crt принадлежит ЛОКАЛЬНОМУ СЕРВИСУ 

server.key принадлежит LOCAL SERVICE 
 Если в качестве владельца файла установлена другая учетная запись или группа пользователей, обновите каждый файл так, чтобы они принадлежали «LOCAL SERVICE»

Дополнительная информация

Дополнительные сведения об импорте сертификата, подписанного ИС, см. в Руководстве по настройке безопасности Dell NetWorker.

Процедура замены самозаверяющего сертификата NetWorker Management Console (NMC) сертификатом, подписанным CA, подробно описана в следующей статье базы знаний:

NetWorker. Импорт или замена сертификатов, подписанных центром сертификации, для NMC

Затронутые продукты

NetWorker

Продукты

NetWorker Family
Свойства статьи
Номер статьи: 000269543
Тип статьи: How To
Последнее изменение: 14 Nov 2025
Версия:  8
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.