NetWorker:如何导入或更换 NMC 的证书颁发机构签名证书
摘要: 这些说明介绍了如何在 NetWorker Management Console (NMC) 服务器上将默认 NetWorker 自签名证书替换为 CA 签名证书。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
这些说明介绍了如何将默认 NetWorker 自签名证书替换为 NetWorker Management Console (NMC) 的 CA 签名证书。本知识库文章提供了有关 Windows 和 Linux NMC 服务器的说明。
以下特定于作系统的文章详细介绍了将 NetWorker 服务器身份验证服务 (AUTHC) 和 NetWorker Web 用户界面 (NWUI) 自签名证书替换为 CA 签名证书的过程:
- NetWorker:如何导入或替换“AUTHC”和“NWUI”的证书颁发机构签名证书 (Linux)
- NetWorker:如何导入或替换“AUTHC”和“NWUI”的证书颁发机构签名证书 (Windows)
涉及证书:
-
<server>.csr:NetWorker Management Console Server 证书签名请求 -
<server>.key:NetWorker Management Console 服务器私钥 -
<server>.crt:NetWorker Management Console 服务器 CA 签名证书 -
<CA>.crt:CA 根证书 -
<ICA>.crt:CA 中间证书(如有,可选用)
提醒:其中 <server> 是 NMC 服务器的短名称。
准备工作:
此过程使用 OpenSSL 实用程序。默认情况下,Linux作系统上提供此实用程序;但是,不包含在 Windows 系统中。请咨询系统管理员如何安装 OpenSSL。所需的 OpenSSL 版本因安装的 NetWorker 版本而异。
- NetWorker 19.9 至 19.11 需要 openssl 版本 1.1.1n
- NetWorker 19.12.0.0(仅限 Linux)支持 openssl 版本 3.0.14
- NetWorker 19.12.0.2(仅限 Windows)支持 openssl 版本 3.0.14
警告:如果使用了错误的 OpenSSL 版本,则 NMC 的 GSTD 进程无法启动 NetWorker:NMC GST 服务启动,然后在替换 cakey.pem 后立即关闭。
可通过以下方式识别 OpenSSL 版本:
Linux:
# openssl versionWindows:
- 从 Windows 文件资源管理器中,转至openssl.exe位置。此路径可能因 OpenSSL 的安装方式而异。
- 打开 openssl.exe 文件,然后转到 Details 选项卡。Product Version字段详细说明了 OpenSSL 版本:
或者,如果 openssl.exe 文件路径是系统的一部分 PATH 变量,您可以运行 'openssl version“命令和管理命令提示符。如果目录包含 openssl.exe 不是系统的一部分 PATH、更改目录 (cd) 复制到包含 openssl.exe。
生成私钥和证书签名请求 (CSR) 文件以便提供给 CA。
- 在 NMC 服务器上,使用 OpenSSL 命令行实用程序创建 NetWorker 服务器私钥文件 (
<server>.key) 和 CSR 文件 (<server>.csr)。
Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key
Windows:
set openssl="<Full system path to the openssl.exe file>" %openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
如果 C:\tmp 不存在,则 csr 和密钥文件可以放置在您选择的位置。
- 发送 CSR 文件 (
<server>.csr) 复制到 CA 以生成 CA 签名的证书文件 (<server>.crt)时,此方法起作用。CA 应提供 CA 签名的证书文件 (<server>.crt)、根证书 (<CA>.crt) 以及任何中间 CA 证书 (<ICA>.crt)时,此方法起作用。
Linux NetWorker Management Console (NMC) 服务器:
- 获取 PFX 格式的单个密钥文件或单个文件中的 CA 签名证书。
- 如果 CA 签名的证书位于单个 PFX 文件中,则可以像使用 OpenSSL 工具一样提取私钥和 CA 签名证书(Windows 可能没有安装 OpenSSL,可以单独安装)。
提醒:按照此过程作时,请确保将
.crt 和 .key 具有完整文件路径的文件,包括证书的文件名和相应的密钥文件。
A.A. 从 PFX 文件中提取私钥和 CA 签名证书。
私钥:
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 证书:
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys
B. 验证 server.key 和 server.crt。
提醒:确保输出显示来自这两个输出的相同校验和哈希。如果它们不同,则存在问题。如果它们相同,请转至下一步。
私钥:
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA 证书:
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum
C. 将私钥、CA 签名的服务器证书、根 CA(和任何中间证书)转换为 PEM 格式。
私钥:
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA 签名的服务器证书:
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
根 CA 证书:
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
中间 CA 证书(如果可用):
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. 将
server.key.pem根 CA.crt、中间证书(如果适用)和签名的服务器证书到 cakey.pem NMC 文件:
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
- 关闭 NMC 服务器的
gst服务:
# systemctl stop gst
- 复制现有的
cakey.pem文件,然后将默认文件替换为在步骤 2 D 中创建的文件。
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig # cp cakey.pem /opt/lgtonmc/etc/cakey.pem
- 复制 NMC 服务器的
server.crt和server.key文件,然后将原始文件替换为签名的文件server.crt和server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig # cp <server>.crt /opt/lgtonmc/apache/conf/server.crt # cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig # cp <server>.key /opt/lgtonmc/apache/conf/server.key
提醒:在发现任何问题时,您可以恢复到备份拷贝。使用 copy 命令覆盖原始文件可确保文件保留正确的所有权和权限。这些文件必须由默认 NMC 服务帐户 (
nsrnmc) 的无工程师方法]、戴尔机箱和 600 权限。
- 启动 NMC 服务器的
gst服务:
# systemctl start gst
- 监视 NMC 服务器的 /opt/lgtonmc/logs/gstd.raw 是否有任何错误。
NetWorker:如何使用nsr_render_log呈现.raw日志文件
验证:
当 NMC 服务器的 gst 服务正在运行,请将 CA 签名证书的指纹与 NMC 的证书指纹进行比较 gst 服务端口 (9000):
# openssl x509 -in <server>.crt -fingerprint -sha256 -noout # openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
这两个命令的 SHA256 指纹应匹配。
示例:
[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2 [root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2
Windows NetWorker Management Console (NMC) 服务器:
- 获取 PFX 格式的单个密钥文件或单个文件中的 CA 签名证书。
- 如果 CA 签名的证书位于单个 PFX 文件中,则可以像使用 OpenSSL 工具一样提取私钥和 CA 签名证书(Windows 通常没有安装 OpenSSL,可以单独安装)。
提醒:按照此过程作时,请确保将
.crt 和 .key 具有完整文件路径的文件,包括证书的文件名和相应的密钥文件。
A.A. 从 PFX 文件中提取私钥和 CA 签名证书。
私钥:
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 证书:
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys
B. 验证 server.key 和 server.crt。
提醒:确保输出显示来自这两个输出的相同校验和哈希。如果它们不同,则存在问题。如果它们相同,请转至下一步。
私钥:
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA 证书:
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256
C. 将私钥、CA 签名的服务器证书、根 CA(和任何中间证书)转换为 PEM 格式。
私钥:
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA 签名的服务器证书:
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. 将
server.key.pem 和 sever.crt.pem 进入 cakey.pem NMC 文件。为此,建议使用以下 PowerShell 命令:
PS C:\tmp> Get-Content server.key.pem,server.crt.pem | Out-File cakey.pem -Encoding ascii
提醒:如果
-Encoding ascii 未设置,则可能会观察到以下问题:NetWorker:替换证书后,Windows NMC 服务器无法启动 GSTD 服务
- 关闭 NMC 服务器的
gst服务:
net stop gstd
- 复印原件
cakey.pem,然后将组合的 CA 签名cakey.pem取而代之:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig" copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
提醒:系统将提示您覆盖原始文件。覆盖证书,因为有原始证书的副本。覆盖原始文件可确保保留文件所有权和权限。
- 复制 NMC 服务器的
server.crt和server.key文件,然后将原始文件替换为签名的文件server.crt和server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig" copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig" copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
- 启动 NMC 服务器的
gst服务:
net start gstd
- 监视 NMC 服务器的 C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw 是否有任何错误。
NetWorker:如何使用nsr_render_log呈现.raw日志文件
验证:
当 NMC 服务器的 gst 服务正在运行,请将 CA 签名证书的指纹与 NMC 的证书指纹进行比较 gst 服务端口 (9000):
%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout %openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
这两个命令的 SHA256 指纹应匹配。
示例:
C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256 SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE
其他信息
即使在 NMC 的自签名证书已替换为 CA 签名的证书后,在从 NMC 启动程序连接到 NMC 服务器期间,您也可能会看到以下警告:
单击“View Certificate Details”。证书详细信息验证是否使用了 CA 签名的证书。
出现警告是因为 NMC 客户端的受信任根证书中缺少签名证书。
提醒:NMC 客户端是用于访问 NMC 的任何主机。
可以忽略此警告;(可选)NMC 服务器的 CA 签名证书也可以导入到 NMC 客户端的受信任根证书中:
- 将 NMC 客户端主机上的 NMC 服务器的 CA 签名证书 (<server.crt>) 放在您选择的文件夹中。
- 打开 CA 签名的证书属性。
- 单击 安装证书。
- 选择本地计算机。
- 选择将所有证书放入以下存储。
- 单击 Browse。
- 选择 Trusted Root Certification Authorities,然后单击 OK。
- 单击Next(下一步)。
- 单击“Finish”(完成)。
- 此时将显示一条消息,说明导入是失败还是成功,请单击OK。
- 在 CA 签名证书属性中,单击确定。
在下一次 NMC 启动期间,不会显示安全警告。
受影响的产品
NetWorker, NetWorker Management Console产品
NetWorker Family文章属性
文章编号: 000269947
文章类型: How To
上次修改时间: 16 12月 2025
版本: 6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。