NetWorker: Як імпортувати або замінити сертифікати, підписані центром сертифікації, для "AUTHC" та "NWUI" (Windows)

摘要: Це загальні кроки для заміни стандартного самопідписаного сертифіката NetWorker на сертифікат, підписаний Центром сертифікації (CA), для сервісів "AUTHC" та "NWUI". Ця база знань застосовується, коли сервер NetWorker та сервер NetWorker Web User Interface (NWUI) встановлені на операційних системах Windows. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

Ці інструкції описують, як замінити стандартний самопідписаний сертифікат NetWorker на сертифікат, підписаний CA, для сервісів AUTHC та NWUI на сервері NetWorker.

Імена файлів не мають вимоги щодо іменування, але розширення слід враховувати за типом файлу. Приклади команд наведені для Windows. Інструкції з Linux див. NetWorker
: Як імпортувати або замінити сертифікати, підписані центром сертифікації, для "Authc" та "NWUI" (Linux)
 

ПРИМІТКА. Описаний процес потребує утиліти командного рядка OpenSSL. OpenSSL за замовчуванням не включений до операційних систем Windows. Якщо утиліта OpenSSL не встановлена, проконсультуйтеся з системним адміністратором щодо встановлення OpenSSL перед тим, як переходити до цієї бази.

Залучені файли сертифікатів:

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

Ключові магазини, які беруть участь:

Назва магазину Шлях за замовчуванням
authc.keystore C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf\authc.keystore
authc.truststore C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc.truststore
Cacerts C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
nwui.keystore C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
ПРИМІТКА. Показані шляхи — це шляхи встановлення за замовчуванням; однак шлях встановлення визначається користувачем і може бути встановлений в іншому місці. Використовуйте інсталяційні шляхи з вашого сервера, якщо використовувалися нестандартні шляхи. Шлях Java NetWorker Runtime Environment (NRE) відрізняється залежно від встановленої версії NRE, оскільки це також змінює версію встановленої Java.

Перш ніж почати:

Створіть копію наступних файлів і папок в іншому місці:

C:\Program Files\NRE\java\jre#.#.#_###\lib\security\cacerts
C:\Program Files\EMC NetWorker\nwui\monitoring\app\conf\nwui.keystore
C:\Program Files\EMC NetWorker\nwui\monitoring\nwuidb\pgdata
C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\conf
C:\Program Files\EMC NetWorker\nsr\authc-server\conf

Згенеруйте приватний ключ і файл запиту на підписання сертифікатів (CSR) для вашого CA.

  1. Відкрийте командний рядок адміністратора та виконайте такі команди:
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
%openssl% req -new -newkey rsa:4096 -nodes -out C:\tmp\<server>.csr -keyout C:\tmp\<server>.key
  1. Надішліть CSR-файл (<сервер>.csr) до CA для генерації сертифіката, підписаного CA (<server.crt>). CA має надавати сертифікатний файл, підписаний CA (<server.crt>), кореневий сертифікат (<CA.crt>) та будь-які проміжні сертифікати CA (<ICA.crt>).

Кроки попередньої перевірки:

Ви повинні знати правильні паролі від сховища ключів NetWorker. Ці паролі встановлюються під час налаштування AUTHC та NWUI. Якщо ви не впевнені, дивіться:

Для полегшення виконання описаних нижче кроків і команд ми створюємо наступні змінні з командного рядка адміністратора:

set hostname=<shortname of NetWorker server>
set openssl="<Path to OpenSSL bin folder>\openssl.exe"
*For example this may be C:\Program Files\OpenSSL-Win64\bin; however the path can differ depending on how OpenSSL was installed. 
NOTE: setting this variable is not required if the OpenSSL bin directory is part of the system environment variable "PATH". In which case, openssl can be run without specifying %openssl% as shown in the KB process.

set java_bin="<Path to JRE bin folder>"
*For NRE this is “C:\Program Files\NRE\java\jre#.#.#_###\bin”, where jre#.#.#_### is the version specific JRE folder.

set nsr="<path to nsr folder>"
*The default path is “C:\Program Files\EMC NetWorker\nsr”

set nwui="<path to nwui folder>"
*The default path is “C:\Program Files\EMC NetWorker\nwui”

set cert="<path to server crt file>"
set key="<path to server key file>"
set RCAcert="<path to Root CA file>"
set ICAcert="<path to intermediate CA crt file>"
set authc_storepass=<AUTHC store password>
set nwui_storepass=<NWUI store password>
ПРИМІТКА. Значення цих змінних є специфічними для середовища. Ви повинні встановлювати значення відповідно до системних шляхів і облікових даних, які використовуються у вашій системі. Ці змінні обмежені сесією командного рядка. Після закриття вікна командного рядка змінні розкладаються. Якщо існує більше одного проміжного сертифіката, створіть змінні для кожного сертифіката: ICA1, ICA2 і так далі

Переконайтеся, що у вас є наступне:

  • server.crt, який містить сертифікат PEM, перший рядок якого — -----BEGIN CERTIFICATE----- а останній рядок — -----END CERTIFICATE-----
  • Файл ключа починається з -----START RSA PRIVATE KEY----- і закінчується -----END RSA PRIVATE KEY-----
  • Перевірте, що всі сертифікати є дійсними файлами формату PEM, запустивши openssl x509 -in <cert> -text -noout
  • Перевірте наведений вищенаведений результат, щоб переконатися, що це правильний сертифікат.
  • Перевірте результат наступних двох команд: 
    %openssl% rsa -pubout -in %key%
    %openssl% x509 -pubkey -noout -in %cert%
    Вихід цих двох команд має співпадати.

Кроки заміни сертифіката автентифікації:

The authc Сервіс не обов'язково зупиняти, щоб наступна процедура працювала. Однак для завантаження нових сертифікатів його потрібно перезапустити.

  1. Імпорт сертифікатів:
  • Імпортуйте кореневий сертифікат (<CA.crt>) та будь-які проміжні сертифікати CA (<ICA.crt>) у authc.keystore:
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %RCAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias RCA -keystore %nsr%\authc-server\conf\authc.truststore -file %RCAcert% -storepass %authc_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\tomcat\conf\authc.keystore -file %ICAcert% -storepass %authc_storepass%
%java_bin%\keytool -import -alias ICA -keystore %nsr%\authc-server\conf\authc.truststore -file %ICAcert% -storepass %authc_storepass%
  • Використовуйте приватний ключ NetWorker Server (<server>.key) та новий сертифікат, підписаний CA (<server.crt>), щоб створити файл сховища PKCS12 для emcauthctomcat і emcauthcsaml Псевдонім.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.authc.p12 -password pass:%authc_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.authc.p12 -password pass:%authc_storepass%
  • Імпортуйте файли сховища PKCS12 у authc.keystore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\tomcat\conf\authc.keystore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Імпортуйте файли сховища PKCS12 до authc.truststore.
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
%java_bin%\keytool -importkeystore -destkeystore %nsr%\authc-server\conf\authc.truststore -srckeystore C:\tmp\%hostname%.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass %authc_storepass% -deststorepass %authc_storepass%
  • Видаліть стандартний самопідписаний сертифікат NetWorker і імпортуйте новий підписаний CA 
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -storepass  %authc_storepass%
%java_bin%\keytool -import -alias emcauthctomcat -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%

%java_bin%\keytool -delete -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -import -alias emcauthcsaml -keystore %nsr%\authc-server\conf\authc.truststore -file %cert% -storepass %authc_storepass%
  • Нарешті, імпортуйте цей сертифікат у файл Java cacerts keystore у розділі emcauthctomcat Псевдонім:
%java_bin%\keytool -delete -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcauthctomcat -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Відредагуйте значення admin_service_default_url=localhost у файлі C:\Program Files\EMC NetWorker\nsr\authc-server\conf\authc-cli-app.properties , щоб відобразити ім'я сервера NetWorker, яке використовується у файлі сертифіката, підписаному CA:
admin_service_default_protocol=https
admin_service_default_url=<my-networker-server.my-domain.com>
admin_service_default_port=9090
admin_service_default_user=
admin_service_default_password=
admin_service_default_tenant=
admin_service_default_domain=
  1. Для використання нового імпортованого сертифіката AUTHC потрібне перезапуск сервісів NetWorker.
net stop nsrd
net start nsrd
  1. Відновити довіру AUTHC на сервері NetWorker:
nsrauthtrust -H <localhost or Authentication_service_host> -P 9090

Після верифікацій AUTHC:

  1. Підтвердьте відбиток імпортованого сертифіката:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Приклад: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Створюйте вихідні файли для кацертів
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Перегляньте вихідний файл і переконайтеся, що бачите emcauthctomcat і що відбиток Сертифіката відповідає відбитку з кроку 1:
Відбиток пальця сертифіката збігається з імпортованим сертифікатом
  1. Перевірте authc.truststore та authc.keystore і підтвердьте, що emcauthctomcat і emcauthcsaml Відбитки пальців сертифіката відповідають відбитку з кроку 1:
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
%java_bin%\keytool -list -keystore %nsr%\authc-server\conf\authc.truststore -storepass %authc_storepass%
  1. Коли сервіс AUTHC запущений, ви можете перевірити, чи сертифікат, який він надає вхідному з'єднанню, збігається з наведеним вище:
%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Приклад: 
C:\certs>%openssl% s_client -connect localhost:9090 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

Інтерфейс користувача NetWorker (nwui) Кроки заміни сертифіката обслуговування:

Припускаємо, що nwui сервіси працюють на сервері NetWorker.
  1. Зупиніть сервіс NWUI:
net stop nwui
  1. Видаліть стандартні самопідписані сертифікати NetWorker і імпортуйте новий CA-підписаний сертифікат (<server.crt>) у сховище ключів cacerts. Для узгодженості ми замінюємо всі сертифікати, пов'язані з nwui, на сертифікат, підписаний CA.
%java_bin%\keytool -delete -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -storepass changeit
%java_bin%\keytool -import -alias emcnwuimonitoring -keystore %java_bin%\..\lib\security\cacerts -file %cert% -storepass changeit
  1. Використовуйте приватний ключ NetWorker Server (<server>.key) та новий сертифікат, підписаний CA (<server.crt>), щоб створити файл сховища PKCS12 для emcauthctomcat і emcauthcsaml Псевдонім для магазину ключів NWUI.
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthctomcat -out C:\tmp\%hostname%.tomcat.nwui.p12 -password pass:%nwui_storepass%
%openssl% pkcs12 -export -in %cert% -inkey %key% -name emcauthcsaml -out C:\tmp\%hostname%.saml.nwui.p12 -password pass:%nwui_storepass%
ПРИМІТКА. Пароль файлу pkcs12 повинен збігатися з паролем сховища ключів. Ось чому в цьому випадку ми створюємо його за допомогою nwui storepass.
  1. Імпортуйте .p12-файли, кореневий сертифікат CA та проміжні сертифікати CA у сховище ключів nwui.
%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -importkeystore -destkeystore %nwui%\monitoring\app\conf\nwui.keystore -srckeystore C:\tmp\%hostname%.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass %nwui_storepass% -deststorepass %nwui_storepass%

%java_bin%\keytool -import -alias RCA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %RCAcert% -storepass %nwui_storepass%

%java_bin%\keytool -import -alias ICA -keystore %nwui%\monitoring\app\conf\nwui.keystore -file %ICAcert% -storepass %nwui_storepass%
  1. Перейменуйте emcnwuimonitoring І ввести наш серверний сертифікат сюди в цей шлях з тією ж назвою.
move %nwui%\monitoring\app\conf\emcnwuimonitoring.cer %nwui%\monitoring\app\conf\emcnwuimonitoring.cer_orig
copy %cert% %nwui%\monitoring\app\conf\emcnwuimonitoring.cer
  1. Почніть сервіс NWUI:
net start nwui

nwui Після верифікацій:

  1. Підтвердьте відбиток імпортованого сертифіката:
%openssl% x509 -in %cert% -fingerprint -sha256 -noout
Приклад: 
C:\certs>%openssl% x509 -in %cert% -fingerprint -sha256 -noout
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73
  1. Створюйте вихідні файли для кацертів
%java_bin%\keytool -list -keystore %java_bin%\..\lib\security\cacerts -storepass changeit > C:\tmp\cacerts.out
  1. Перегляньте вихідний файл і переконайтеся, що бачите emcauthctomcat і що відбиток Сертифіката відповідає відбитку з кроку 1:
Відбиток пальця сертифіката збігається з імпортованим сертифікатом
  1. Перевірте nwui.keystore і переконайтеся, що emcauthctomcat Відбитки пальців сертифіката відповідають відбитку з кроку 1:
%java_bin%\keytool -list -keystore %nwui%\monitoring\app\conf\nwui.keystore -storepass %nwui_storepass%
  1. Коли сервіс NWUI запущений, ви можете перевірити, чи сертифікат, який він надає вхідному з'єднанню, такий самий, як і вище:
%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
Приклад: 
C:\certs>%openssl% s_client -connect localhost:9095 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
SHA256 Fingerprint=06:4B:5B:73:06:55:FC:4A:CD:D2:92:34:00:1D:CE:35:CA:C3:48:C7:51:06:3A:D7:D7:84:F4:77:06:ED:9B:73

nwui Кроки заміни сертифіката PostgreSQL

move %nwui%\monitoring\nwuidb\pgdata\server.crt %nwui%\monitoring\nwuidb\pgdata\server.crt_orig
move %nwui%\monitoring\nwuidb\pgdata\server.key %nwui%\monitoring\nwuidb\pgdata\server.key_orig

copy %cert% %nwui%\monitoring\nwuidb\pgdata\server.crt
copy %key% %nwui%\monitoring\nwuidb\pgdata\server.key
Перевірте право власності на ці файли і переконайтеся, що вони належать системному акаунту LOCAL SERVICE.

server.crt належить LOCAL SERVICE 

server.key належить компанії LOCAL SERVICE. 
 Якщо власність файлу встановлена на інший обліковий запис користувача або групу, оновіть кожен файл так, щоб він належав "ЛОКАЛЬНОМУ СЕРВІСУ"

其他資訊

Для отримання додаткової інформації про імпорт сертифіката, підписаного CA, дивіться Посібник з конфігурації безпеки Dell NetWorker.

Процес заміни самопідписаного сертифіката NetWorker Management Console (NMC) на сертифікат, підписаний CA, детально описаний у наступній базі знань:

NetWorker: Як імпортувати або замінити сертифікати, підписані центром сертифікації, для NMC

受影響的產品

NetWorker

產品

NetWorker Family
文章屬性
文章編號: 000269543
文章類型: How To
上次修改時間: 14 11月 2025
版本:  8
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。