NetWorker:「AUTHC」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法(Windows)

摘要: ここでは、デフォルトのNetWorker自己署名証明書を、「AUTHC」および「NWUI」サービスのCA(認証局)署名済み証明書に置き換える一般的な手順を示します。このKBは、NetWorkerサーバーとNetWorker Webユーザー インターフェイス(NWUI)サーバーがWindowsオペレーティング システムにインストールされている場合に適用されます。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

これらの手順では、デフォルトのNetWorker自己署名証明書を、NetWorkerサーバー上のAUTHCおよびNWUIサービスのCA署名証明書に置き換える方法について説明します。

ファイル名に名前付けの要件はありませんが、拡張子はファイルの種類で参照する必要があります。ここに示すコマンド例はWindows用です。Linuxでの手順については、次を参照してください。
NetWorker: 「authc」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法
 

メモ: 説明されているプロセスでは、OpenSSLコマンドライン ユーティリティーが必要です。OpenSSLは、デフォルトではWindowsオペレーティング システムには含まれていません。OpenSSLユーティリティーがインストールされていない場合は、このKBに進む前に、OpenSSLのインストールについてシステム管理者に問い合わせてください。

関連する証明書ファイル:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

関連するキーストア:

店舗名 デフォルト パス
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
cacerts C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
メモ: 表示されているパスはデフォルトのインストールパスです。ただし、インストール パスはユーザー定義であり、別の場所にインストールできます。デフォルト以外のパスが使用されていた場合は、サーバーからのインストール パスを使用します。NetWorker Runtime Environment (NRE)のJavaパスは、インストールされているJavaのバージョンも変更するため、インストールされているNREのバージョンによって異なります。

開始する前に、次の操作を行います。

次のファイルとフォルダーのコピーを別の場所に作成します。

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

CAに提供するプライベート キーと証明書署名要求(CSR)ファイルを生成します。

  1. 管理者コマンド プロンプトを開き、次のコマンドを実行します。
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. CSRファイル(<server>.csr)をCAに送信して、CA署名済み証明書ファイル(<server>.crt)を生成します。CA は、CA 署名付き証明書ファイル (<server>.crt)、ルート証明書 (<CA>.crt)、および中間 CA 証明書 (<ICA>.crt) を提供する必要があります。

事前検証の手順:

正しいNetWorkerキーストア パスワードを知っている必要があります。これらのパスワードは、AUTHCおよびNWUIの構成中に設定されます。不明な場合は、次を参照してください。

以下で説明する手順とコマンドを容易にするために、管理者のコマンドプロンプトから次の変数を作成します。

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
メモ: これらの変数の値は環境固有です。システムで使用されているシステム パスと認証情報に従って値を設定する必要があります。これらの変数は、コマンドプロンプト セッションに限定されます。コマンド プロンプト ウィンドウを閉じると、変数の設定は解除されます。中間証明書が複数ある場合は、証明書ごとに変数を作成します。ICA1、ICA2など

次の条件を満たしていることを確認します。

  • server.crtファイルには、最初の行が-----BEGIN CERTIFICATE-----で、最後の行が-----END CERTIFICATEであるPEM証明書が含まれています-----
  • キー ファイルは-----BEGIN RSA PRIVATE KEY-----で始まり、-----END RSA PRIVATE KEYで終わります-----
  • 次のコマンドを実行して、すべての証明書が有効なPEM形式のファイルであることを確認します。 openssl x509 -in <cert> -text -noout
  • 上記の出力を確認して、正しい証明書であることを確認します。
  • 次の2つのコマンドの出力を確認します。 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    これら2つのコマンドの出力は一致している必要があります。

認証サービス証明書の交換手順:

「 authc 次の手順を実行するためにサービスを停止する必要はありません。ただし、新しい証明書をロードするには、再起動する必要があります。

  1. 証明書のインポート:
  • ルート証明書(<CA>.crt)と中間CA証明書(<ICA>.crt)をauthc.keystoreにインポートします。
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • NetWorkerサーバーのプライベート キー ファイル(<server>.key)と新しいCA署名付き証明書ファイル(<server>.crt)を使用して、のPKCS12ストア ファイルを作成します。 emcauthctomcatemcauthcsaml 別名。
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • PKCS12ストア ファイルを authc.keystoreにインポートします。
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • PKCS12ストア ファイルを authc.truststoreにインポートします。
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • デフォルトのNetWorker自己署名証明書を削除し、新しいCA署名付き証明書をインポートする 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • 最後に、この証明書を次のJava cacertsキーストア ファイルにインポートします。 emcauthctomcat 別名:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.propertiesファイルのadmin_service_default_url=localhostの値を編集して、CA署名済み証明書ファイルで使用されているNetWorkerサーバー名を反映します。
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. インポートされた新しい証明書をAUTHCで使用するには、NetWorkerサービスを再起動する必要があります。
net stop nsrd
net start nsrd
  1. NetWorkerサーバーでAUTHC信頼を再確立します。
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

AUTHCの事後検証:

  1. インポートされた証明書のフィンガープリントを確認します。
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Example: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. cacertsの出力ファイルの作成
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. 出力ファイルを確認し、 emcauthctomcat エントリを入力し、証明書のフィンガープリントがステップ1のフィンガープリントと一致することを確認します。
証明書のフィンガープリントがインポートされた証明書のフィンガープリントと一致する
  1. authc.truststoreauthc.keystoreを確認し、 emcauthctomcat と emcauthcsaml 証明書のフィンガープリントがステップ1のフィンガープリントと一致します。
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. AUTHCサービスが稼働している場合は、インバウンド接続に提供する証明書が上記と同じであることを確認できます。
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Example: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

NetWorkerユーザー インターフェイス(nwui)サービス証明書の交換手順:

私たちは、 nwui サービスがNetWorkerサーバーで実行されている。
  1. NWUIサービスを停止します。
net stop nwui
  1. デフォルトのNetWorker自己署名証明書を削除し、新しいCA署名済み証明書ファイル(<server>.crt)をcacertsキーストアにインポートします。一貫性を保つために、すべてのnwui関連の証明書をCA署名済み証明書に置き換えます。
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. NetWorkerサーバーのプライベート キー ファイル(<server>.key)と新しいCA署名付き証明書ファイル(<server>.crt)を使用して、のPKCS12ストア ファイルを作成します。 emcauthctomcatemcauthcsaml NWUIキーストアのエイリアス。
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
メモ: pkcs12ファイルのパスワードは、キーストアのパスワードと一致している必要があります。そのため、このケースではnwui storepassを使用して作成します。
  1. .p12ファイル、ルートCA証明書、中間CA証明書をnwuiキーストアにインポートします。
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. 名前を emcnwuimonitoring 証明書を作成し、サーバー証明書を同じ名前でこのパスに配置します。
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. NWUIサービスを開始します。
net start nwui

nwui 事後検証:

  1. インポートされた証明書のフィンガープリントを確認します。
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Example: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. cacertsの出力ファイルの作成
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. 出力ファイルを確認し、 emcauthctomcat エントリを入力し、証明書のフィンガープリントがステップ1のフィンガープリントと一致することを確認します。
証明書のフィンガープリントがインポートされた証明書のフィンガープリントと一致する
  1. nwui.keystoreを確認し、 emcauthctomcat 証明書のフィンガープリントがステップ1のフィンガープリントと一致します。
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. NWUIサービスが稼働している場合は、このサービスがインバウンド接続に提供する証明書が上記と同じであることを確認できます。
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Example: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui PostgreSQL証明書の交換手順

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
これらのファイルの所有権を確認し、システム アカウント LOCAL SERVICEによって所有されていることを確認します。

server.crtはLOCAL SERVICEによって所有されています 

server.keyはローカル サービスが所有しています 
 ファイルの所有権が別のユーザー アカウントまたはグループに設定されている場合は、各ファイルをアップデートして「ローカル サービス」によって所有されるようにします

其他資訊

CA署名証明書のインポートの詳細については、 Dell NetWorkerセキュリティ構成ガイドを参照してください。

NetWorker Management Console (NMC)自己署名証明書をCA署名証明書に置き換えるプロセスの詳細については、次のKBを参照してください。

NetWorker:NMCの認証局署名済み証明書をインポートまたは置換する方法」

受影響的產品

NetWorker

產品

NetWorker Family
文章屬性
文章編號: 000269543
文章類型: How To
上次修改時間: 14 11月 2025
版本:  8
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。