NetWorker:如何匯入或更換 NMC 認證機構簽署的憑證
摘要: 這些指示說明如何在 NetWorker Management Console (NMC) 伺服器上將預設 NetWorker 自我簽署憑證更換為 CA 簽署憑證。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
這些指示說明如何將預設 NetWorker 自我簽署憑證更換為 NetWorker 管理主控台 (NMC) 的 CA 簽署憑證。本 KB 提供 Windows 和 Linux NMC 伺服器的指示。
以下作業系統專屬 KB 中詳述將 NetWorker 伺服器驗證服務 (authc) 和 NetWorker Web 使用者介面 (NWUI) 自我簽署憑證更換為 CA 簽署憑證的程序:
- NetWorker:如何匯入或更換「authc」和「NWUI」(Linux) 的認證機構簽署憑證
- NetWorker:如何為「authc」和「NWUI」(Windows) 匯入或更換認證機構簽署的憑證
涉及的憑證:
-
<server>.csr:NetWorker Management Console 伺服器憑證簽署要求
-
<server>.key:NetWorker Management Console 伺服器私密金鑰
-
<server>.crt:NetWorker Management Console 伺服器 CA 簽署憑證
-
<CA>.crt:CA 根憑證
-
<ICA>.crt:CA 中繼憑證 (選用,如果有)
注意:其中 <server> 是 NMC 伺服器的短名稱。
開始之前:
此程序會使用 OpenSSL 公用程式。此公用程式在 Linux 作業系統上預設提供;但是,不包含在 Windows 系統上。有關安裝 OpenSSL 的問題,請諮詢系統管理員。所需的 OpenSSL 版本會因安裝的 NetWorker 版本而有所不同。
- NetWorker 19.8 及更早版本需要 openssl 版本 1.0.2
- NetWorker 19.9 至 19.11 需要 openssl 版本 1.1.1n
注意:使用 NetWorker 19.12.0.0 的 Linux 主機支援 OpenSSL 3.0.14。Windows 仍需要 1.1.1n。
警告:如果使用錯誤版本的 OpenSSL,NMC 的 GSTD 程序將無法啟動 NetWorker:NMC GST 服務開始,然後在更換 cakey.pem 後立即關閉。
OpenSSL 版本可識別如下:
Linux:
# openssl versionWindows:
- 從 Windows 檔案總管前往openssl.exe位置。此路徑可能會有所不同,具體取決於 OpenSSL 的安裝方式。
- 打開 openssl.exe 檔,然後轉到 D尾 部選項卡。產品版本欄位會詳細說明 OpenSSL 版本:
或者,如果openssl.exe檔路徑是系統PATH變數的一部分,則可以從和管理命令提示符運行「openssl version」命令;否則,您可以將目錄 (CD) 變更為openssl.exe目錄。
產生私人金鑰和憑證簽署要求 (CSR) 檔案以提供給您的 CA。
- 在 NMC 伺服器上,使用 OpenSSL 命令列公用程式建立 NetWorker 伺服器私密金鑰檔案 (
<server>.key) 和 CSR 檔案 (<server>.csr)。
Linux:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key
Windows:
set openssl="<Full system path to the openssl.exe file>" %openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
如果 C:\tmp 不存在,csr 和金鑰檔案可放置在您選擇的位置。
- 傳送 CSR 檔案 (
<server>.csr) 以產生 CA 簽署的憑證檔 (<server>.crt)。CA 應提供 CA 簽署的憑證檔案 (<server>.crt),根憑證 (<CA>.crt),以及任何中間 CA 憑證 (<ICA>.crt)。
Linux NetWorker 管理主控台 (NMC) 伺服器:
- 取得個別金鑰檔案或 PFX 格式的單一檔案中的 CA 簽署憑證。
- 如果 CA 簽署的憑證位於單一 PFX 檔案中,則私密金鑰和 CA 簽署的憑證可像使用 OpenSSL 工具一樣解壓縮 (Windows 可能未安裝 OpenSSL,可個別安裝)。
注意:執行此過程時,請確保將 .crt 和 .key 檔案替換為完整檔案路徑,並相應地包括證書和密鑰檔的檔名。
A. 從 PFX 檔案中提取私密金鑰和 CA 簽署的憑證。
私密金鑰:
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 憑證:
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys
B. 確認 server.key 和 server.crt 的完整性。
注意:請確定輸出顯示這兩個輸出的相同檢查總和雜湊。如果它們不同,則存在問題。如果相同,請前往下一個步驟。
私密金鑰:
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA 憑證:
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum
C. 將私密金鑰、CA 簽署的伺服器憑證、root CA (及任何中繼憑證) 轉換為 PEM 格式。
私密金鑰:
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA 簽署的伺服器憑證:
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
根 CA 憑證:
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
中繼 CA 憑證 (若有):
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
D. 將 server.key.pem、根 CA.crt、中繼憑證 (若有) 和已簽署的伺服器憑證合併至 NMC 的 cakey.pem 檔案中:
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
- 關閉 NMC 伺服器的 gst 服務:
# systemctl stop gst
- 複製現有的 cakey.pem 檔案,然後將預設檔案替換為在步驟 2 D 中建立的檔案。
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig # cp cakey.pem /opt/lgtonmc/etc/cakey.pem
- 製作 NMC 伺服器的 server.crt 和server.key檔案的複本,然後將原始檔案更換為已簽署的 server.crt,並server.key:
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig # cp <server>.crt /opt/lgtonmc/apache/conf/server.crt # cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig # cp <server>.key /opt/lgtonmc/apache/conf/server.key
注意:您可以還原到任何觀察到問題的備份副本。使用 copy 命令覆寫原始檔案可確保檔案保留正確的擁有權和權限。這些檔案必須由具有 600 個權限的預設 NMC 服務帳戶 (nsrnmc) 擁有。
- 啟動 NMC 伺服器的 gst 服務:
# systemctl start gst
- 監控 NMC 伺服器的 /opt/lgtonmc/logs/gstd.raw 是否有任何錯誤。
NetWorker:如何使用nsr_render_log呈現.raw紀錄檔
驗證:
當 NMC 伺服器的 gst 服務運行時,將 CA 簽署憑證的指紋與 NMC 的 gst 服務連接埠 (9000) 的憑證指紋進行比較:
# openssl x509 -in <server>.crt -fingerprint -sha256 -noout # openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout
這兩個命令的 SHA256 指紋應相符。
範例:
[root@lnx-srvr01 ~]# openssl x509 -in lnx-srvr01.crt -fingerprint -sha256 -noout sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2 [root@lnx-srvr01 ~]# openssl x509 -in <(openssl s_client -connect localhost:9000 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout sha256 Fingerprint=33:FF:25:13:A2:C7:59:1C:F0:D6:F3:F7:5D:10:6A:83:7A:2C:4E:20:4B:52:DD:3C:FA:D4:59:1B:6B:44:D6:A2
Windows NetWorker 管理主控台 (NMC) 伺服器:
- 取得個別金鑰檔案或 PFX 格式的單一檔案中的 CA 簽署憑證。
- 如果 CA 簽署的憑證位於單一 PFX 檔案中,則私密金鑰和 CA 簽署的憑證可像使用 OpenSSL 工具一樣解壓縮 (Windows 可能未安裝 OpenSSL,可個別安裝)。
注意:執行此過程時,請確保將 .crt 和 .key 檔案替換為完整檔案路徑,並相應地包括證書和密鑰檔的檔名。
A. 從 PFX 檔案中提取私密金鑰和 CA 簽署的憑證。
私密金鑰:
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA 憑證:
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys
B. 確認 server.key 和 server.crt 的完整性。
注意:請確定輸出顯示這兩個輸出的相同檢查總和雜湊。如果它們不同,則存在問題。如果相同,請前往下一個步驟。
私密金鑰:
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA 憑證:
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256
C. 將私密金鑰、CA 簽署的伺服器憑證、root CA (及任何中繼憑證) 轉換為 PEM 格式。
私密金鑰:
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA 簽署的伺服器憑證:
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
D. 將 server.key.pem 和 sever.crt.pem 合併至 NMC 的 cakey.pem 檔案中。為此,建議使用下列 PowerShell 命令:
PS C:\tmp> get-content server.key.pem,server.crt.pem | out-file cakey.pem
- 關閉 NMC 伺服器的 gst 服務:
net stop gstd
- 製作原始 cakey.pem 的副本,然後將組合的 CA 簽名的 cakey.pem 放在其位置:
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig" copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
注意:系統將提示您覆蓋原始檔。當有原始憑證的副本時,請覆寫憑證。覆蓋原始檔可確保保留檔擁有權和許可權。
- 製作 NMC 伺服器的 server.crt 和server.key檔案的複本,然後將原始檔案更換為已簽署的 server.crt,並server.key:
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig" copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig" copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
- 啟動 NMC 伺服器的 gst 服務:
net start gstd
- 監控 NMC 伺服器的 C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw 是否有任何錯誤。
NetWorker:如何使用nsr_render_log呈現.raw紀錄檔
驗證:
當 NMC 伺服器的 gst 服務運行時,將 CA 簽署憑證的指紋與 NMC 的 gst 服務連接埠 (9000) 的憑證指紋進行比較:
%openssl% x509 -in <server>.crt -fingerprint -sha256 -noout %openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256
這兩個命令的 SHA256 指紋應相符。
範例:
C:\tmp>%openssl% x509 -in win-srvr02.crt -fingerprint -sha256 -noout SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE C:\tmp>%openssl% s_client -connect localhost:9000 -showcerts 2>nul | %openssl% x509 -noout -fingerprint -sha256 SHA256 Fingerprint=B9:4A:1E:64:AA:1A:38:88:7B:D3:72:70:A2:32:D5:9A:D1:33:50:93:00:35:D6:9B:8D:AE:59:92:B1:66:46:DE
其他資訊
即使 NMC 的自我簽署憑證已更換為 CA 簽署憑證,從 NMC 啟動器連線至 NMC 伺服器時,您可能會看到下列警告:
按一下「檢視憑證詳細資料」。證書詳細資訊驗證是否使用 CA 簽名證書。
出現警告是因為 NMC 用戶端的受信任根憑證遺失已簽署的憑證。
注意:NMC 用戶端是用於存取 NMC 的任何主機。
可以忽略此警告;或者,NMC 伺服器的 CA 簽署憑證也可以匯入 NMC 用戶端的受信任根憑證:
- 將 NMC 伺服器的 CA 簽署憑證 (<server.crt>) 放在 NMC 用戶端主機上您選擇的資料夾中。
- 開啟 CA 簽署的憑證屬性。
- 按一下 安裝憑證。
- 選取近端機器。
- 選取將所有憑證放在下列存放區中。
- 按一下瀏覽。
- 選取受信任的根認證機構,然後按一下確定。
- 按一下 Next (下一步)。
- 按一下完成。
- 隨即會出現訊息,說明匯入失敗或成功,請按一下確定。
- 在 CA 簽署的憑證屬性上,按一下確定。
在下一次 NMC 啟動時,不會出現安全性警告。
受影響的產品
NetWorker產品
NetWorker Family文章屬性
文章編號: 000269947
文章類型: How To
上次修改時間: 12 8月 2025
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。