NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Linux)

Disse instruktioner beskriver, hvordan du erstatter det selvsignerede NetWorker-standardcertifikat med et CA-signeret certifikat for authc og nwui tjenester på NetWorker-serveren.

Filnavnene har ikke et navngivningskrav, men der skal refereres til filtypenavnene for filtypen. De viste kommandoeksempler er til Linux. Du kan finde Windows-instruktioner i:.
NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater for "Authc" og "NWUI" (Windows)
 

Involverede certifikatfiler:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Involverede nøglebutikker:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Generer en privat nøgle og CSR-fil (anmodning om certifikatsignering), som skal leveres til dit nøglecenter.

• Brug kommandolinjeværktøjet OpenSSL til at oprette den private NetWorker-servernøglefil (<server>.key) og CSR-fil (<server>.csr).

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• Send CSR-filen (<server>.csr) til nøglecenteret for at generere den CA-signerede certifikatfil (<server>.crt). Det nøglecenter skal levere den CA-signerede certifikatfil (<server>.crt), rodcertifikatet (<CA>.crt) og eventuelle mellemliggende CA-certifikater (<ICA>.crt).

Trin til forudgående bekræftelse:

Sørg for, at du har følgende:

• server.crt-fil, som indeholder et PEM-certifikat, hvis første linje er -----BEGIN CERTIFICATE----- og den sidste linje er -----END CERTIFICATE-----
• Nøglefilen starter med -----BEGIN RSA PRIVATE KEY----- og slutter med -----END RSA PRIVATE KEY-----
• Bekræft, at alle certifikater er gyldige PEM-formatfiler ved at køre openssl x509 -in <cert> -text -noout.
• Kontroller ovenstående output for at være sikker på, at det er det rigtige certifikat.
• Kontroller outputtet af følgende to kommandoer:

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  Outputtet af disse to kommandoer skal stemme overens.

For at lette de trin og kommandoer, der er beskrevet nedenfor, opretter vi følgende variabler:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Hvis der er mere end ét mellemliggende certifikat, skal du oprette variabler for hvert certifikat: ICA1, ICA2 osv

. Du skal kende de korrekte NetWorker-adgangskoder til nøglelageret. Disse adgangskoder indstilles under AUTHC- og NWUI-konfiguration. Hvis du ikke er sikker, kan du se:

• Sådan henter du NetWorker-godkendelsen og NWUI-tjenestens adgangskode til nøglelageret

Du kan også bruge dine keystore-adgangsvariabler (mulighed 1) eller gemme dem i en fil for at holde adgangskoden skjult (mulighed 2):
Eksempel på mulighed 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Eksempel på mulighed 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Før du starter:

Lav en sikkerhedskopi af nøglelageret og konfigurationsarkiverne, der opdateres.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

Trin til udskiftning af godkendelsesservicecertifikat:

Ikonet authc Servicen behøver ikke at blive stoppet, for at nedenstående procedure fungerer. Den skal dog genstartes, for at de nye certifikater kan indlæses.

1. Import af certifikaterne

   • Importere rodcertifikatet (<CA>.crt) og eventuelle mellemliggende CA-certifikater (<ICA>.crt) i authc.keystore.

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • Brug den private NetWorker Server-nøglefil (<server>.key) og den nye CA-signerede certifikatfil (<server>.crt) for at oprette en PKCS12-lagerfil til emcauthctomcat og emcauthcsaml alias.

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     BEMÆRK: Adgangskoden til filen pkcs12 skal svare til adgangskoden til nøglelageret. Dette er grunden til, at vi i dette tilfælde opretter det med authc butikspas.

   • Importer PKCS12-lagerfilerne til authc.keystore.

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Importer PKCS12-lagerfilerne til authc.truststore.

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Slet det selvsignerede NetWorker-standardcertifikat, og importér den nye CA-signerede certifikatfil (<server>.crt) i authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • Endelig importerer dette certifikat til Java cacerts keystore-filen under emcauthctomcat alias:

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

2. Rediger admin_service_default_url=localhost værdi i authc-cli-app.properties fil, der afspejler det NetWorker-servernavn, der bruges i den CA-signerede certifikatfil:

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. En genstart af NetWorker-tjenesterne er nødvendig for authc for at bruge det nye importerede certifikat.

nsr_shutdown 
systemctl start networker

4. Genopret authc Tillid til NetWorker-serveren:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc efterverificeringer:

Outputtet fra hvert alias "Certifikatfingeraftryk" falder sammen med outputtet fra de andre nøglelagre:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Udgangen skal svare til denne:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Dette fingeraftryk er fra det certifikat, der blev installeret. Dette indikerer, at indførelsen af det nye certifikat i de forskellige nøglelagre blev udført korrekt.

openssl x509 -in $cert -fingerprint -sha256 -noout

Når authc Tjenesten kører, kan du kontrollere, at det certifikat, den leverer til en indgående forbindelse, er det samme som ovenstående:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Ovenstående kommando blev kørt fra selve NetWorker-serveren, så den opretter forbindelse til localhost. Tilslutninger udefra <nw server name>:9090
 

NetWorker-brugergrænseflade (nwui) Trin til udskiftning af servicecertifikat:

Vi går ud fra, at nwui tjenester kører på NetWorker-serveren.

• Stop nwui tjeneste

  systemctl stop nwui

• Slet NetWorkers selvsignerede standardcertifikater, og importér den nye CA-signerede certifikatfil (<server>.crt) ind i Cacerts Keystore. For ensartethed erstatter vi alle nwui-relaterede certifikater med det CA-signerede certifikat.

  • Det er nødvendigt at afgøre, om NetWorker Runtime Environment (NRE) eller Java Runtime Environment (JRE) bruges, før følgende trin udføres.
  • Hvis JRE anvendes, er stien til /cacerts på $java_bin/../lib/security/cacerts.
  • Hvis NRE anvendes, er stien til /cacerts ved /opt/nre/java/latest/lib/security/cacerts.

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

• Brug den private NetWorker Server-nøglefil (<server>.key) og den nye CA-signerede certifikatfil (<server>.crt) for at oprette en PKCS12-lagerfil til emcauthctomcat og emcauthcsaml Aliasset for nwui nøglebutik.

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  BEMÆRK: Adgangskoden til filen pkcs12 skal svare til adgangskoden til nøglelageret. Dette er grunden til, at vi i dette tilfælde opretter det med nwui butikspas.

• Importer .p12-filerne, CA-rodcertifikatet og de mellemliggende CA-certifikater til nwui nøglebutik.

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• Omdøb emcnwuimonitoring, emcnwuiauthcog emcnwuiserv certifikater, og sæt vores servercertifikat her i denne sti med samme navn.

  mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer
  
  mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

• Start nwui servicesektor

  systemctl start nwui

nwui Efterfølgende kontrolbesøg:

Outputtet fra hvert alias "Certifikatfingeraftryk" falder sammen med outputtet fra de andre nøglelagre:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Dette fingeraftryk er fra det certifikat, der blev installeret. Dette indikerer, at indførelsen af det nye certifikat i de forskellige nøglelagre blev udført korrekt.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui Trin til udskiftning af PostgreSQL-certifikat

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

Du kan finde flere oplysninger om import af et CA-signeret certifikat i sikkerhedskonfigurationsvejledningen til Dell NetWorker.

Processen for udskiftning af det selvsignerede NMC-certifikat (NetWorker Management Console) med et CA-signeret certifikat er beskrevet i følgende KB:

NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater til NMC