NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen authc- ja NWUI-varmenteilla (Linux)

Näissä ohjeissa kuvataan, miten NetWorkerin itse allekirjoittama oletusvarmenne korvataan päämyöntäjän allekirjoittamalla varmenteella authc ja nwui NetWorker-palvelimen palvelut.

Tiedostonimillä ei ole nimeämisvaatimusta, mutta tiedostotyyppiin on viitattava tiedostotyypin mukaan. Esitetyt komentoesimerkit koskevat Linuxia. Katso Windows-ohjeet kohdasta:.
Verkkotyöntekijä: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen Authc- ja NWUI-varmenteilla (Windows)
 

Mukana olevat varmennetiedostot:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Mukana olevat avainsäilöt:

authc.keystore

authc.truststore

cacerts

nwui.keystore

Luo yksityisen avaimen ja varmenteen allekirjoituspyyntötiedosto (CSR), jonka toimitat varmenteiden myöntäjälle.

• Luo NetWorker-palvelimen yksityisen avaimen tiedosto OpenSSL-komentoriviapuohjelmalla (<server>.key) ja CSR-tiedosto (<server>.csr).

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• Lähetä CSR-tiedosto (<server>.csr) varmentajalle myöntäjän allekirjoittaman varmennetiedoston luomiseksi (<server>.crt). Varmenteiden myöntäjän on toimitettava varmenteiden myöntäjän allekirjoittama varmennetiedosto (<server>.crt), juurivarmenne (<CA>.crt) ja mahdolliset välivaiheen CA-todistukset (<ICA>.crt).

Vahvistusta edeltävät vaiheet:

Varmista, että sinulla on seuraavat ominaisuudet:

• server.crt-tiedosto, joka sisältää PEM-varmenteen, jonka ensimmäinen rivi on -----BEGIN CERTIFICATE----- ja viimeinen rivi on -----END CERTIFICATE-----
• Avaintiedoston alussa on -----BEGIN RSA PRIVATE KEY----- ja se päättyy -----END RSA PRIVATE KEY-----
• Varmista, että kaikki varmenteet ovat kelvollisia PEM-muotoisia tiedostoja suorittamalla openssl x509 -in <cert> -text -noout.
• Tarkista yllä oleva tulos ja varmista, että se on oikea varmenne.
• Tarkista seuraavien kahden komennon tulos:

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  Näiden kahden komennon tuloksen on vastattava toisiaan.

Alla kuvattujen vaiheiden ja komentojen helpottamiseksi luomme seuraavat muuttujat:

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

Jos välivarmenteita on enemmän kuin yksi, luo kullekin varmenteelle muuttujat: ICA1, ICA2 ja niin edelleen

Sinun on tiedettävä oikeat NetWorker-avainsäilön salasanat. Nämä salasanat asetetaan AUTHC- ja NWUI-määritysten yhteydessä. Jos et ole varma, katso:

• NetWorker-todennuksen ja NWUI-palvelun avainsäilön salasanan noutaminen

Voit myös käyttää avainsäilön passimuuttujia (vaihtoehto 1) tai tallentaa ne tiedostoon salasanan piilottamiseksi (vaihtoehto 2):
Esimerkki vaihtoehdosta 1:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

Esimerkki vaihtoehdosta 2:

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

Ennen kuin aloitat:

Tee varmuuskopio päivitetyistä avainsäilö- ja määritystiedostoista.

tar -zcvf /tmp/NSR_$(hostname -s)_$(date -I).tar.gz $java_bin/../lib/security/cacerts $nsr/nwui/monitoring/app/conf/nwui.keystore /opt/nsr/authc-server/conf /nsr/nwui/monitoring/nwuidb/pgdata

Valtuutuspalveluvarmenteen vaihtovaiheet:

pikanäppäimellä authc Palvelua ei tarvitse pysäyttää, jotta alla olevat toimenpiteet toimivat. Se on kuitenkin käynnistettävä uudelleen, jotta uudet varmenteet ladataan.

1. Varmenteiden tuominen

   • Tuo juurivarmenne (<CA>.crt) ja mahdolliset CA-välitodistukset (<ICA>.crt) authc.keystore.

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • Käytä NetWorker Serverin yksityisen avaimen tiedostoa (<server>.key) ja uuden myöntäjän allekirjoittaman varmennetiedoston (<server>.crt) luodaksesi PKCS12-säilötiedoston emcauthctomcat ja emcauthcsaml alias.

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     HUOMAUTUS: PKCS12-tiedoston salasanan on vastattava avainsäilön salasanaa. Siksi tässä tapauksessa luomme sen authc StorePass.

   • Tuo PKCS12-säilön tiedostot authc.keystore.

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Tuo PKCS12-säilön tiedostot authc.truststore.

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • Poista oletusarvoinen NetWorkerin itse allekirjoitettu varmenne ja tuo uusi päämyöntäjän allekirjoittama varmennetiedosto (<server>.crt) authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • Tuo lopuksi tämä varmenne Java cacerts keystore -tiedostoon kohdassa emcauthctomcat alias:

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

2. Muokkaa admin_service_default_url=localhost Arvo kohdassa authc-cli-app.properties CA-allekirjoitetussa varmennetiedostossa käytetty NetWorker Server -nimi vastaa seuraavaa tiedostoa:

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. NetWorker-palvelut on käynnistettävä uudelleen seuraavia varten: authc käyttääksesi uutta tuotua varmennetta.

nsr_shutdown 
systemctl start networker

4. Muodosta uudelleen authc Luottamus NetWorker-palvelimeen:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

Authc-varmennuksen jälkeiset toimenpiteet:

Kunkin "Certificate fingerprint" -aliaksen tuloste on sama kuin muiden avainsäilöjen:

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

Lähdön tulisi olla samanlainen kuin tämä:

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

Tämä sormenjälki on peräisin asennetusta varmenteesta. Tämä osoittaa, että uuden varmenteen käyttöönotto eri avainsäilöissä tapahtui oikein.

openssl x509 -in $cert -fingerprint -sha256 -noout

Kun authc Palvelu on käynnissä. Voit tarkistaa, että sen saapuvalle yhteydelle antama varmenne on sama kuin yllä:

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

*Edellä oleva komento suoritettiin NetWorker-palvelimesta, joten se muodostaa yhteyden localhost-palvelimeen. Yhteydet ulkopuolisesta käytöstä <nw server name>:9090
 

NetWorker-käyttöliittymä (nwui) Palveluvarmenteen vaihtovaiheet:

Oletamme, että nwui Palvelut ovat käynnissä NetWorker-palvelimessa.

• Pysäytä nwui palvelu

  systemctl stop nwui

• Poista oletusarvoiset NetWorkerin itse allekirjoitetut varmenteet ja tuo uusi päämyöntäjän allekirjoittama varmennetiedosto (<server>.crt) Cacerts-avainsäilöön. Johdonmukaisuuden vuoksi korvaamme kaikki nwui-liittyvät varmenteet CA-allekirjoitetulla varmenteella.

  • Ennen seuraavien vaiheiden suorittamista on selvitettävä, käytetäänkö NetWorker Runtime Environmentia (NRE) vai Java Runtime Environment (JRE).
  • Jos käytetään JRE:tä, /cacerts-tiedoston polku on $java_bin/../lib/security/cacerts.
  • Jos käytetään NRE:tä, polun /cacerts polku on /opt/nre/java/latest/lib/security/cacerts.

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

• Käytä NetWorker Serverin yksityisen avaimen tiedostoa (<server>.key) ja uuden myöntäjän allekirjoittaman varmennetiedoston (<server>.crt) luodaksesi PKCS12-säilötiedoston emcauthctomcat ja emcauthcsaml Alias nwui avainsäilytys.

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  HUOMAUTUS: PKCS12-tiedoston salasanan on vastattava avainsäilön salasanaa. Siksi tässä tapauksessa luomme sen nwui StorePass.

• Tuo .p12-tiedostot, CA-päävarmenne ja CA-välivarmenteet nwui avainsäilytys.

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• Nimeä uudelleen emcnwuimonitoring, emcnwuiauthcja emcnwuiserv varmenteet, ja laita palvelinvarmenne tähän polkuun samalla nimellä.

  mv /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  chown nsrnwui:nsrnwui /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiauthc.cer
  
  mv /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer
  chown nsrnwui:nsrnwui /opt/nwui/conf/emcnwuiserv.cer

• Käynnistä nwui palvelut

  systemctl start nwui

nwui Varmennuksen jälkeiset toimet:

Kunkin "Certificate fingerprint" -aliaksen tuloste on sama kuin muiden avainsäilöjen:

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

Tämä sormenjälki on peräisin asennetusta varmenteesta. Tämä osoittaa, että uuden varmenteen käyttöönotto eri avainsäilöissä tapahtui oikein.

openssl x509 -in $cert -fingerprint -sha256 -noout

nwui PostgreSQL-varmenteen vaihtovaiheet

mv $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
mv $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

Lisätietoja päämyöntäjän allekirjoittaman varmenteen tuomisesta on Dell NetWorker Security Configuration Guide -oppaassa.

NetWorker Management Consolen (NMC) itse allekirjoitetun varmenteen korvaaminen varmenteiden myöntäjän allekirjoittamalla varmenteella on seuraavassa tietämyskannan tietokannassa:

NetWorker: Varmenteen myöntäjän allekirjoitettujen varmenteiden tuominen tai korvaaminen NMC:lle