NetWorker:如何导入或替换 NMC 的证书颁发机构签名证书
摘要: 这些说明介绍了如何在 NetWorker Management Console (NMC) 服务器上将默认 NetWorker 自签名证书替换为 CA 签名证书。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
这些说明介绍了如何将默认 NetWorker 自签名证书替换为 NetWorker Management Console (NMC) 的 CA 签名证书。本知识库文章提供了有关 Windows 和 Linux NMC 服务器的说明。
以下特定于作系统的知识库文章详细介绍了将 NetWorker 服务器身份验证服务 (authc) 和 NetWorker Web 用户界面 (NWUI) 自签名证书替换为 CA 签名证书的过程:
- NetWorker:如何导入或替换“authc”和“NWUI”的证书颁发机构签名证书 (Linux)
- NetWorker:如何导入或替换“authc”和“NWUI”的证书颁发机构签名证书 (Windows)
涉及证书:
-
<server>.csr:NetWorker Management Console Server 证书签名请求
-
<server>.key:NetWorker Management Console 服务器私钥
-
<server>.crt:NetWorker Management Console 服务器 CA 签名证书
-
<CA>.crt:CA 根证书
-
<ICA.crt>:CA 中间证书(如有,可选用)
提醒:其中 <server> 是 NMC 服务器的短名称。
开始之前:
此过程使用 OpenSSL 实用程序。默认情况下,Linux作系统上提供此实用程序;但是,不包含在 Windows 系统中。请咨询系统管理员如何安装 OpenSSL。所需的 OpenSSL 版本因安装的 NetWorker 版本而异。
- NetWorker 19.8 及更早版本需要 openssl 版本 1.0.2
- NetWorker 19.9 至 19.11 需要 openssl 版本 1.1.1n
提醒:使用 NetWorker 19.12.0.0 的 Linux 主机支持 OpenSSL 3.0.14。Windows 仍然需要 1.1.1n。
警告:如果使用了错误的 OpenSSL 版本,则 NMC 的 GSTD 进程无法启动 NetWorker:NMC GST 服务启动,然后在替换 cakey.pem 后立即关闭。
可通过以下方式识别 OpenSSL 版本:
Linux:
# openssl versionWindows:
- 从 Windows 文件资源管理器中,转至openssl.exe位置。此路径可能因 OpenSSL 的安装方式而异。
- 打开 openssl.exe 文件,然后转到 Details 选项卡。Product Version字段详细说明了 OpenSSL 版本:
或者,如果openssl.exe文件路径是系统 PATH 变量的一部分,您可以从和管理命令提示符运行“openssl version”命令;否则,您可以将目录 (CD) 更改为 openssl.exe 目录。
生成私钥和证书签名请求 (CSR) 文件以便提供给 CA。
- 在 NMC 服务器上,使用 OpenSSL 命令行实用程序创建 NetWorker 服务器私钥文件 (
<server>.key) 和 CSR 文件 (<server>.csr)时,此方法起作用。
Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key
Windows:
set openssl="<Full system path to the openssl.exe file>" %openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
如果 C:\tmp 不存在,则 csr 和密钥文件可以放置在您选择的位置。
- 发送 CSR 文件 (
<server>.csr) 复制到 CA 以生成 CA 签名的证书文件 (<server>.crt)时,此方法起作用。CA 应提供 CA 签名的证书文件 (<server>.crt)、根证书 (<CA>.crt) 以及任何中间 CA 证书 (<ICA>.crt)时,此方法起作用。
Linux NetWorker Management Console (NMC) 服务器:
- 获取 PFX 格式的单个密钥文件或单个文件中的 CA 签名证书。
- 如果 CA 签名的证书位于单个 PFX 文件中,则可以像使用 OpenSSL 工具一样提取私钥和 CA 签名证书(Windows 可能没有安装 OpenSSL,可以单独安装)。
提醒:执行此过程时,请确保将 .crt 和 .key 文件替换为完整的文件路径,包括相应地证书和密钥文件的文件名。
A.A. 从 PFX 文件中提取私钥和 CA 签名证书。
私钥:
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 证书:
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys
B. 验证 server.key 和 server.crt 的完整性。
提醒:确保输出显示来自这两个输出的相同校验和哈希。如果它们不同,则存在问题。如果它们相同,请转至下一步。
私钥:
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA 证书:
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum
C. 将私钥、CA 签名的服务器证书、根 CA(和任何中间证书)转换为 PEM 格式。
私钥:
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA 签名的服务器证书:
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
根 CA 证书:
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
中间 CA 证书(如果可用):
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. 将 server.key.pem、根 CA.crt、中间证书(如果可用)和签名的服务器证书合并到 NMC 的 cakey.pem 文件中:
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
- 关闭 NMC 服务器的 gst 服务:
# systemctl stop gst
- 复制现有 cakey.pem 文件,然后将默认文件替换为在步骤 2 D 中创建的文件。
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig # cp cakey.pem /opt/lgtonmc/etc/cakey.pem
- 复制 NMC 服务器的 server.crt 和server.key文件,然后使用签名的 server.crt 替换原始文件,并server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig # cp <server>.crt /opt/lgtonmc/apache/conf/server.crt # cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig # cp <server>.key /opt/lgtonmc/apache/conf/server.key
提醒:在发现任何问题时,您可以恢复到备份拷贝。使用 copy 命令覆盖原始文件可确保文件保留正确的所有权和权限。这些文件必须由具有 600 权限的默认 NMC 服务帐户 (nsrnmc) 拥有。
- 启动 NMC 服务器的 gst 服务:
# systemctl start gst
- 监视 NMC 服务器的 /opt/lgtonmc/logs/gstd.raw 是否有任何错误。
NetWorker:如何使用nsr_render_log呈现.raw日志文件
验证:
当 NMC 服务器的 gst 服务正在运行时,将 CA 签名证书的指纹与 NMC gst 服务端口 (9000) 的证书指纹进行比较:
# openssl x509 -in <server>.crt -fingerprint -sha256 -noout # openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
这两个命令的 SHA256 指纹应匹配。
示例:
[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2 [root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2
Windows NetWorker Management Console (NMC) 服务器:
- 获取 PFX 格式的单个密钥文件或单个文件中的 CA 签名证书。
- 如果 CA 签名的证书位于单个 PFX 文件中,则可以像使用 OpenSSL 工具一样提取私钥和 CA 签名证书(Windows 可能没有安装 OpenSSL,可以单独安装)。
提醒:执行此过程时,请确保将 .crt 和 .key 文件替换为完整的文件路径,包括相应地证书和密钥文件的文件名。
A.A. 从 PFX 文件中提取私钥和 CA 签名证书。
私钥:
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 证书:
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys
B. 验证 server.key 和 server.crt 的完整性。
提醒:确保输出显示来自这两个输出的相同校验和哈希。如果它们不同,则存在问题。如果它们相同,请转至下一步。
私钥:
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA 证书:
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256
C. 将私钥、CA 签名的服务器证书、根 CA(和任何中间证书)转换为 PEM 格式。
私钥:
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA 签名的服务器证书:
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. 将 server.key.pem 和 sever.crt.pem 合并到 NMC 的 cakey.pem 文件中。为此,建议使用以下 PowerShell 命令:
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
- 关闭 NMC 服务器的 gst 服务:
net stop gstd
- 复制原始 cakey.pem,然后将组合的 CA 签名 cakey.pem 放在其位置:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig" copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
提醒:系统将提示您覆盖原始文件。覆盖证书,因为有原始证书的副本。覆盖原始文件可确保保留文件所有权和权限。
- 复制 NMC 服务器的 server.crt 和server.key文件,然后使用签名的 server.crt 替换原始文件,并server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig" copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig" copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
- 启动 NMC 服务器的 gst 服务:
net start gstd
- 监视 NMC 服务器的 C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw 是否有任何错误。
NetWorker:如何使用nsr_render_log呈现.raw日志文件
验证:
当 NMC 服务器的 gst 服务正在运行时,将 CA 签名证书的指纹与 NMC gst 服务端口 (9000) 的证书指纹进行比较:
%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout %openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
这两个命令的 SHA256 指纹应匹配。
示例:
C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256 SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE
其他信息
即使在 NMC 的自签名证书已替换为 CA 签名的证书后,在从 NMC 启动程序连接到 NMC 服务器期间,您也可能会看到以下警告:
单击“View Certificate Details”。证书详细信息验证是否使用了 CA 签名的证书。
出现警告是因为 NMC 客户端的受信任根证书中缺少签名证书。
提醒:NMC 客户端是用于访问 NMC 的任何主机。
可以忽略此警告;(可选)NMC 服务器的 CA 签名证书也可以导入到 NMC 客户端的受信任根证书中:
- 将 NMC 客户端主机上的 NMC 服务器的 CA 签名证书 (<server.crt>) 放在您选择的文件夹中。
- 打开 CA 签名的证书属性。
- 单击 安装证书。
- 选择本地计算机。
- 选择将所有证书放入以下存储。
- 单击 Browse。
- 选择 Trusted Root Certification Authorities,然后单击 OK。
- 单击Next(下一步)。
- 单击“Finish”(完成)。
- 此时将显示一条消息,说明导入是失败还是成功,请单击OK。
- 在 CA 签名证书属性中,单击确定。
在下一次 NMC 启动期间,不会显示安全警告。
受影响的产品
NetWorker产品
NetWorker Family文章属性
文章编号: 000269947
文章类型: How To
上次修改时间: 12 8月 2025
版本: 5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。