NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "Authc" og "NWUI" (Linux)

Disse instruksjonene beskriver hvordan du erstatter det standard NetWorker selvsignerte sertifikatet med et CA-signert sertifikat for authc og nwui -tjenester på NetWorker-serveren.

Filnavnene har ikke et navnekrav, men utvidelsene skal refereres til for filtypen. Kommandoeksemplene som vises er for Linux. Hvis du vil ha Windows-instruksjoner, kan du se:
NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for "Authc" og "NWUI" (Windows)
 

Sertifikatfiler involvert:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Nøkkelbutikker involvert:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Generer en privat nøkkel og en forespørsel om sertifikatsignering (CSR)-fil som du kan sende til sertifiseringsinstansen.

• Bruk kommandolinjeverktøyet OpenSSL til å opprette en privat nøkkelfil for NetWorker-serveren (<server>.key) og CSR-fil (<server>.csr).

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• Send CSR-filen (<server>.csr) til sertifiseringsinstansen for å generere den CA-signerte sertifikatfilen (<server>.crt). Sertifiseringsinstansen skal levere den CA-signerte sertifikatfilen (<server>.crt), rotsertifikatet (<CA>.crt), og eventuelle mellomliggende CA-sertifikater (<ICA>.crt).

Trinn for forhåndsbekreftelse:

Kontroller at du har følgende:

• server.crt-fil, som inneholder et PEM-sertifikat der den første linjen er -----BEGIN CERTIFICATE----- og den siste linjen er -----END CERTIFICATE-----
• Nøkkelfilen starter med -----BEGIN RSA PRIVATE KEY----- OG SLUTTER MED -----END RSA PRIVATE KEY-----
• Bekreft at alle sertifikater er gyldige filer i PEM-format ved å kjøre openssl x509 -in <cert> -text -noout.
• Kontroller utdataene ovenfor for å være sikker på at det er riktig sertifikat.
• Kontroller utdataene fra følgende to kommandoer:

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  Utdataene fra disse to kommandoene må samsvare.

For å forenkle trinnene og kommandoene som er beskrevet nedenfor, oppretter vi følgende variabler:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Hvis det er mer enn ett mellomliggende sertifikat, oppretter du variabler for hvert sertifikat: ICA1, ICA2 og så videre

Du må kjenne de riktige NetWorker-passordene for nøkkellagring. Disse passordene angis under AUTHC- og NWUI-konfigurasjonen. Hvis du ikke er sikker, kan du se:

• Slik henter du NetWorker-godkjenningen og NWUI-tjenestens passord for nøkkellager

Du kan også bruke passordpassordvariablene (alternativ 1) eller lagre dem i en fil for å holde passordet skjult (alternativ 2):
Eksempel på alternativ 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Eksempel på alternativ 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Før du begynner:

Ta en sikkerhetskopi av nøkkellageret og konfigurasjonsfilene som er oppdatert.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

Utskiftingstrinn for autorisasjonsservicesertifikat:

Informasjonen i authc Tjenesten trenger ikke å stoppes for at fremgangsmåten nedenfor skal fungere. Den må imidlertid startes på nytt for at de nye sertifikatene skal lastes inn.

1. Importere sertifikatene

   • Importere rotsertifikatet (<CA>.crt) og eventuelle mellomliggende CA-sertifikater (<ICA>.crt) inn i authc.keystore.

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • Bruk NetWorker Server privatnøkkelfil (<server>.key) og den nye CA-signerte sertifikatfilen (<server>.crt) for å opprette en PKCS12-butikkfil for emcauthctomcat og emcauthcsaml Alias.

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     MERK: Passordet til pkcs12-filen må samsvare med passordet til nøkkellageret. Dette er grunnen til at vi i dette tilfellet lager det med authc StorePass.

   • Importer PKCS12-butikkfilene til authc.keystore.

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Importer PKCS12-butikkfilene til authc.truststore.

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Slett det selvsignerte NetWorker-standardsertifikatet, og importer den nye CA-signerte sertifikatfilen (<server>.crt) inn i authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • Til slutt importere dette sertifikatet til Java cacerts keystore filen under emcauthctomcat Alias:

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

2. Rediger ikonet admin_service_default_url=localhost -verdien i authc-cli-app.properties -fil som gjenspeiler NetWorker-servernavnet som brukes i den CA-signerte sertifikatfilen:

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. En omstart av NetWorker-tjenestene er nødvendig for authc for å bruke det nye importerte sertifikatet.

nsr_shutdown 
systemctl start networker

4. Gjenopprette authc Stol på NetWorker-serveren:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc post-verifikasjoner:

Utdataene fra hvert alias for "Certificate fingerprint" sammenfaller med aliasene til de andre nøkkellagrene:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Utgangen skal være lik denne:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Dette fingeravtrykket er fra sertifikatet som ble installert. Dette indikerer at innføringen av det nye sertifikatet i de forskjellige nøkkellagrene ble gjort riktig.

openssl x509 -in $cert -fingerprint -sha256 -noout

Når authc Tjenesten er oppe og går, kan du kontrollere at sertifikatet den gir til en innkommende tilkobling, er det samme som ovenfor:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Kommandoen ovenfor ble kjørt fra selve NetWorker-serveren, slik at den kobles til localhost. Tilkoblinger utenfra <nw server name>:9090
 

NetWorker-brukergrensesnitt (nwui) Trinn for utskifting av servicesertifikat:

Vi antar at nwui -tjenestene kjører på NetWorker-serveren.

• Stopp nwui tjeneste

  systemctl stop nwui

• Slett standard NetWorker selvsignerte sertifikater og importere den nye CA-signerte sertifikatfilen (<server>.crt) inn i cacerts nøkkellager. For konsistens bytter vi ut alle nwui-relaterte sertifikater med CA-signert sertifikat.

  • Det er nødvendig å finne ut om NetWorker Runtime Environment (NRE) eller Java Runtime Environment (JRE) brukes før du utfører følgende trinn.
  • Hvis JRE brukes, er banen til /cacerts ved $java_bin/../lib/security/cacerts.
  • Hvis NRE brukes, er banen til /cacerts ved /opt/nre/java/latest/lib/security/cacerts.

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

• Bruk NetWorker Server privatnøkkelfil (<server>.key) og den nye CA-signerte sertifikatfilen (<server>.crt) for å opprette en PKCS12-butikkfil for emcauthctomcat og emcauthcsaml Alias for nwui nøkkellager.

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  MERK: Passordet til pkcs12-filen må samsvare med passordet til nøkkellageret. Dette er grunnen til at vi i dette tilfellet lager det med nwui StorePass.

• Importer .p12-filer, rot-CA-sertifikat og midlertidige CA-sertifikater til nwui nøkkellager.

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• Gi nytt navn til emcnwuimonitoring, emcnwuiauthcog emcnwuiserv sertifikater, og legg serversertifikatet vårt her i denne banen med samme navn.

  mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer
  
  mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

• Start nwui Tjenester

  systemctl start nwui

nwui Ettervurderinger:

Utdataene fra hvert alias for "Certificate fingerprint" sammenfaller med aliasene til de andre nøkkellagrene:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Dette fingeravtrykket er fra sertifikatet som ble installert. Dette indikerer at innføringen av det nye sertifikatet i de forskjellige nøkkellagrene ble gjort riktig.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Trinn for utskifting av PostgreSQL-sertifikat

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

Hvis du vil ha mer informasjon om hvordan du importerer et CA-signert sertifikat, kan du se veiledningen for sikkerhetskonfigurasjon for Dell NetWorker.

Prosessen for å erstatte det selvsignerte NetWorker Management Console-sertifikatet (NMC) med et CA-signert sertifikat er beskrevet i følgende KB:

NetWorker: Slik importerer eller erstatter du signerte sertifikater fra sertifiseringsinstanser for NMC