NetWorker：「AUTHC」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法(Linux)」

これらの手順では、デフォルトのNetWorker自己署名証明書を、NetWorkerサーバー上のNetWorker認証(AUTHC)およびNetWorker Web UI(NWUI)サービスのCA署名証明書に置き換える方法について説明します。

ファイル名に名前付けの要件はありませんが、拡張子はファイルの種類で参照する必要があります。ここに示すコマンド例はLinux用です。Windowsでの手順については、次を参照してください。
NetWorker: 「AUTHC」および「NWUI」の認証局署名済み証明書をインポートまたは置き換える方法(Windows)」
 

関連する証明書ファイル：

<server>.csr: NetWorker server certificate signing request

<server>.key: NetWorker server private key

<server>.crt: NetWorker server CA-signed certificate

<CA>.crt: CA root certificate

<ICA>.crt: CA intermediate certificate (optional if it is available)

関連するキーストア：

authc.keystore

authc.truststore

cacerts

nwui.keystore

CAに提供するプライベート キーと証明書署名要求(CSR)ファイルを生成します。

• OpenSSLコマンドライン ユーティリティーを使用して、NetWorkerサーバーのプライベート キー ファイル(<server>.key)およびCSRファイル(<server>.csr)を提供する必要があります。

  # openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

• CSRファイル(<server>.csr)をCAに送信し、CA署名済み証明書ファイルを生成してもらいます(<server>.crt)を提供する必要があります。CAは、CA署名済み証明書ファイル(<server>.crt)、ルート証明書(<CA>.crt)、および中間CA証明書(<ICA>.crt)を提供する必要があります。

事前検証の手順:

次の条件を満たしていることを確認します。

• server.crtファイルには、最初の行が-----BEGIN CERTIFICATE-----で、最後の行が-----END CERTIFICATEであるPEM証明書が含まれています-----
• キー ファイルは-----BEGIN RSA PRIVATE KEY-----で始まり、-----END RSA PRIVATE KEYで終わります-----
• 次のコマンドを実行して、すべての証明書が有効なPEM形式のファイルであることを確認します。 openssl x509 -in <cert> -text -nooutの詳細を確認してください。
• 上記の出力を確認して、正しい証明書であることを確認します。
• 次の2つのコマンドの出力を確認します。

  openssl rsa -pubout -in server.key

  openssl x509 -pubkey -noout -in server.crt

  これら2つのコマンドの出力は一致している必要があります。

以下で説明する手順とコマンドを容易にするために、次の変数を作成します。

java_bin=/opt/nre/java/latest/bin
nsr=<path to /nsr partition> # In case of NVE for instance this is /data01/nsr
cert=<path to server crt file>
key=<path to server key file>
RCAcert=<path to Root CA file>
ICAcert=<path to intermediate CA crt file>

中間証明書が複数ある場合は、証明書ごとに変数を作成します。ICA1、ICA2など

NetWorkerキーストアの正しいパスワードを知っている必要があります。これらのパスワードは、AUTHCおよびNWUIの構成中に設定されます。不明な場合は、次を参照してください。

• NetWorker認証とNWUIサービスのキーストア パスワードを取得する方法

また、キーストア パス変数を使用するか(オプション1)、それらをファイルに保存してパスワードを非表示にすることもできます(オプション2):
オプション1の例:

authc_storepass='P4ssw0rd!'
nwui_storepass='Password1!'

オプション2の例：

authc_storepass=$(cat authc_storepass_file.txt)
nwui_storepass=$(cat nwui_storepass_file.txt)

作業を開始する前に：

Java cacertsファイルのバックアップ コピーを作成します。 

cp -p /opt/nre/java/latest/lib/security/cacerts /tmp/cacerts_$(date -I).bkp

認証サービス証明書の交換手順:

「 authc 次の手順を実行するためにサービスを停止する必要はありません。ただし、新しい証明書をロードするには、再起動する必要があります。

1. 証明書のインポート

   • ルート証明書 (<CA>.crt)および中間CA証明書(<ICA>.crt)を authc.keystoreの詳細を確認してください。

     $java_bin/keytool -import -alias RCA -keystore $nsr/authc/conf/authc.keystore -file $RCAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias RCA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $RCAcert -storepass $authc_storepass
     
     $java_bin/keytool -import -alias ICA -keystore $nsr/authc/conf/authc.keystore -file $ICAcert -storepass $authc_storepass
     $java_bin/keytool -import -alias ICA -keystore /opt/nsr/authc-server/conf/authc.truststore -file $ICAcert -storepass $authc_storepass

   • NetWorkerサーバーのプライベート キー ファイル(<server>.key)と新しいCA署名付き証明書ファイル(<server>.crt)を使用して、 emcauthctomcat と emcauthcsaml エイリアス。

     openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.authc.p12 -password pass:$authc_storepass
     openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.authc.p12 -password pass:$authc_storepass

     メモ: pkcs12ファイルのパスワードは、キーストアのパスワードと一致している必要があります。そのため、このケースでは、 authc storepassです。

   • PKCS12ストア ファイルを authc.keystoreの詳細を確認してください。

     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /nsr/authc/conf/authc.keystore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • PKCS12ストア ファイルを authc.truststoreの詳細を確認してください。

     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.tomcat.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass
     $java_bin/keytool -importkeystore -destkeystore /opt/nsr/authc-server/conf/authc.truststore -srckeystore /tmp/$hostname.saml.authc.p12 -srcstoretype PKCS12 -srcstorepass $authc_storepass -deststorepass $authc_storepass

   • デフォルトのNetWorker自己署名証明書を削除し、新しいCA署名証明書ファイル(<server>.crt)を authc.truststore.

     $java_bin/keytool -delete -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthctomcat -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass
     $java_bin/keytool -delete -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass
     $java_bin/keytool -import -alias emcauthcsaml -keystore /opt/nsr/authc-server/conf/authc.truststore -file $cert -storepass $authc_storepass

   • 最後に、この証明書を次のJava cacertsキーストア ファイルにインポートします。 emcauthctomcat エイリアス：

     $java_bin/keytool -delete -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -storepass changeit
     $java_bin/keytool -import -alias emcauthctomcat -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

     メモ: NetWorker 19.13(またはそれ以降)を使用している場合は、 keytool インポート時にコマンドが警告を返す場合がある cacerts 証明 書。使用する警告状態 -cacerts 」に編集します。［値のデータ：］フィールドに「 -keystoreの詳細を確認してください。警告が表示されますが、これは無視しても問題ありませんが、この記事では証明書をインポートします。代替手段は、「-keystore $java_bin/../lib/security/cacerts" と "-cacertsコマンドの「」;これにより、警告が表示されなくなります。

2. 編集 admin_service_default_url=localhost 値を authc-cli-app.properties 次のように、CA署名済み証明書ファイルで使用されているNetWorkerサーバー名を反映します。

   cat /opt/nsr/authc-server/conf/authc-cli-app.properties
   admin_service_default_protocol=https
   admin_service_default_url=<my-networker-server.my-domain.com>
   admin_service_default_port=9090
   admin_service_default_user=
   admin_service_default_password=
   admin_service_default_tenant=
   admin_service_default_domain=

3. NetWorkerサービスの再起動は、次の場合に必要です。 authc をクリックして、新しくインポートされた証明書を使用します。

nsr_shutdown 
systemctl start networker

4. 確立 authc NetWorkerサーバーでの信頼:

   nsrauthtrust -H <local host or Authentication_service_host> -P 9090

AUTHCの事後検証:

各「証明書フィンガープリント」エイリアスの出力は、他のキーストアの出力と一致します。

$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore /opt/nsr/authc-server/conf/authc.truststore -storepass $authc_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $nsr/authc/conf/authc.keystore -storepass $authc_storepass | grep emcauthctomcat -A1

出力は次のようになります。

Certificate fingerprint (SHA-256): FD:54:B4:11:42:87:FF:CA:80:77:D2:C7:06:87:09:72:70:85:C1:70:39:32:A9:C0:14:83:D9:3A:29:AF:44:90

このフィンガープリントは、インストールされた証明書のものです。これは、異なるキーストアへの新しい証明書の導入が正しく行われたことを示します。

openssl x509 -in $cert -fingerprint -sha256 -noout

ここで、 authc サービスが稼働している場合は、インバウンド接続に提供する証明書が上記と同じであることを確認できます。

openssl x509 -in <(openssl s_client -connect localhost:9090 -prexit 2>/dev/null </dev/null | sed -n -e '/BEGIN\ CERTIFICATE/,/END\ CERTIFICATE/ p') -fingerprint -sha256 -noout

または、ポート 9090 で使用される証明書のサブジェクトと発行者を確認することもできます。

openssl s_client -connect localhost:9090 -showcerts 2>/dev/null </dev/null | grep -E "issuer|subject"

NetWorkerユーザー インターフェイス(nwui)サービス証明書の交換手順:

私たちは、 nwui サービスがNetWorkerサーバーで実行されている。

• 停止する nwui サービス

  systemctl stop nwui

• デフォルトのNetWorker自己署名証明書を削除し、新しいCA署名証明書ファイル(<server>.crt)をcacertsキーストアにコピーします。一貫性を保つために、すべての nwui関連する証明書をCA署名付き証明書とともに使用します。

  • 次の手順を実行する前に、NetWorker Runtime Environment (NRE)とJava Runtime Environment (JRE)のどちらが使用されているかを確認する必要があります。
  • JREを使用する場合、/cacertsのパスは次の場所にあります。 $java_bin/../lib/security/cacertsの詳細を確認してください。
  • NREを使用する場合、/cacertsのパスは次の場所にあります。 /opt/nre/java/latest/lib/security/cacertsの詳細を確認してください。

    $java_bin/keytool -delete -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuimonitoring -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiserv -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit
    
    $java_bin/keytool -delete -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -storepass changeit
    $java_bin/keytool -import -alias emcnwuiauthc -keystore $java_bin/../lib/security/cacerts -file $cert -storepass changeit

    メモ: NetWorker 19.13(またはそれ以降)を使用している場合は、 keytool インポート時にコマンドが警告を返す場合がある cacerts 証明 書。使用する警告状態 -cacerts 」に編集します。［値のデータ：］フィールドに「 -keystoreの詳細を確認してください。警告が表示されますが、これは無視しても問題ありませんが、この記事では証明書をインポートします。代替手段は、「-keystore $java_bin/../lib/security/cacerts" と "-cacertsコマンドの「」;これにより、警告が表示されなくなります。

• NetWorkerサーバーのプライベート キー ファイル(<server>.key)と新しいCA署名付き証明書ファイル(<server>.crt)を使用して、 emcauthctomcat と emcauthcsaml のエイリアス nwui キーストアにインポートします。

  openssl pkcs12 -export -in $cert -inkey $key -name emcauthctomcat -out /tmp/$hostname.tomcat.nwui.p12 -password pass:$nwui_storepass
  openssl pkcs12 -export -in $cert -inkey $key -name emcauthcsaml -out /tmp/$hostname.saml.nwui.p12 -password pass:$nwui_storepass

  メモ: pkcs12ファイルのパスワードは、キーストアのパスワードと一致している必要があります。そのため、このケースでは、 nwui storepassです。

• .p12ファイル、ルートCA証明書、中間CA証明書を nwui キーストアにインポートします。

  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.tomcat.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -importkeystore -destkeystore $nsr/nwui/monitoring/app/conf/nwui.keystore -srckeystore /tmp/$hostname.saml.nwui.p12 -srcstoretype PKCS12 -srcstorepass $nwui_storepass -deststorepass $nwui_storepass
  
  $java_bin/keytool -import -alias RCA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $RCAcert -storepass $nwui_storepass
  
  $java_bin/keytool -import -alias ICA -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -file $ICAcert -storepass $nwui_storepass

• 名前を emcnwuimonitoring、 emcnwuiauthcと emcnwuiserv certificatesを作成し、サーバー証明書を同じ名前でこのパスに配置します。元のファイルを上書きするように求められます(これにより、既存の所有権と権限が維持されます)

  cp -p /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer_orig
  cp $cert /nsr/nwui/monitoring/app/conf/emcnwuimonitoring.cer
  
  mv -p /opt/nwui/conf/emcnwuiauthc.cer /opt/nwui/conf/emcnwuiauthc.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiauthc.cer
  
  cp -p /opt/nwui/conf/emcnwuiserv.cer /opt/nwui/conf/emcnwuiserv.cer_orig
  cp $cert /opt/nwui/conf/emcnwuiserv.cer

  メモ: 元のファイルを上書きするように求められます(これにより、既存の所有権と権限が維持されます)

• nwui PostgreSQL証明書の交換手順

  cp -p $nsr/nwui/monitoring/nwuidb/pgdata/server.crt /nsr/nwui/monitoring/nwuidb/pgdata/server.crt_orig
  cp -p $nsr/nwui/monitoring/nwuidb/pgdata/server.key /nsr/nwui/monitoring/nwuidb/pgdata/server.key_orig
  cp $cert $nsr/nwui/monitoring/nwuidb/pgdata/server.crt
  cp $key $nsr/nwui/monitoring/nwuidb/pgdata/server.key

  メモ: 元のファイルを上書きするように求められます(これにより、既存の所有権と権限が維持されます)

• を開始します。 nwui サービス

  systemctl start nwui

nwui 事後検証:

各「証明書フィンガープリント」エイリアスの出力は、他のキーストアの出力と一致します。

$java_bin/keytool -list -keystore $nsr/nwui/monitoring/app/conf/nwui.keystore -storepass $nwui_storepass | grep emcauthctomcat -A1
$java_bin/keytool -list -keystore $java_bin/../lib/security/cacerts -storepass changeit | grep emcauthctomcat -A1
$java_bin/keytool -list -storepass $authc_storepass -keystore $nsr/authc/conf/authc.keystore | grep emcauthctomcat -A1

このフィンガープリントは、インストールされた証明書のものです。これは、異なるキーストアへの新しい証明書の導入が正しく行われたことを示します。

openssl x509 -in $cert -fingerprint -sha256 -noout

または、ポート 9090 で使用される証明書のサブジェクトと発行者を確認することもできます。

openssl s_client -connect localhost:9095 -showcerts 2>/dev/null </dev/null | grep -E "issuer|subject"

NetWorker管理コンソール:

このトピックについては、次の記事で説明します。NetWorker：NMCの認証局署名済み証明書をインポートまたは置換する方法」

NetWorker HTTP Strict Transport Security (HSTS):

NetWorker：NetWorker Apache TomcatサーバーでHSTS構成を有効にする方法

次の手順を使用して、 cacerts この記事に従う前に作成されたファイル コピー。また、次のプロセスでは、AUTHCおよびNWUIにデフォルトの自己署名証明書を使用するようにNetWorkerをリセットします。 

1. バックアップ コピーがあることを確認します。[ 開始する前に ] コマンドを使用した場合は、Java の cacerts サーバーの /tmp ディレクトリーを削除します。例：

[root@nsr ~]# ls -l /tmp | grep cacerts
-rwxr-xr-x. 1 root      root      129266 Mar 23 14:44 cacerts_2026-03-23.bkp

2. NetWorkerサービスを停止します。

systemctl stop nwui
nsr_shutdown

3. NetWorkerサービスが実行されていないことを確認します。

systemctl status networker
systemctl status nwui

4. cacertsファイルを元の場所にコピーします。

rsync -a --no-perms --no-owner --no-group /tmp/cacerts_<date>.bkp /opt/nre/java/latest/lib/security/cacerts

5. 次のコマンドを再実行します。 authc_configure.sh スクリプトを作成し、新しいキーストアを作成するオプションを指定します。Example:

[root@nsr ~]# /opt/nsr/authc-server/scripts/authc_configure.sh

Specify the directory where the Java Standard Edition Runtime Environment (JRE) software is installed [/opt/nre/java/latest]:

The installation process will install an Apache Tomcat instance.
For optimum security, EMC NetWorker Authentication Service will
use a non-root user (nsrtomcat) to start the Apache Tomcat instance.
If your system has special user security requirements, ensure that proper
operational permissions are granted to this non-root user (nsrtomcat).
Please refer to NetWorker Installation Guide.

The Apache Tomcat will use "nsr.amer.lan" as the host name.
The Apache Tomcat will use "9090" as the port number.

The NetWorker Authentication Service requires a keystore file to configure encryption and to provide SSL support.

EMC recommends that you specify a keystore password that has a minimum of six characters.

Do you want to use the existing keystore /nsr/authc/conf/authc.keystore [y]? n

The installation process will create a new keystore file.

Specify the keystore password: HIDDEN_PASSWORD
Confirm the password: HIDDEN_PASSWORD

Creating the installation log in /opt/nsr/authc-server/logs/install.log.

Performing initialization. Please wait...


The installation completed successfully.

6. NetWorkerサーバ サービスを開始します。

systemct start networker

7. コマンド nwui_configure.sh スクリプトを作成し、新しいキーストアを作成するオプションを指定します。Example:

[root@nsr ~]# mv /nsr/nwui /nsr/nwui_$(date -I).bak
[root@nsr ~]# /opt/nwui/scripts/nwui_configure.sh

Specify the directory where the Java Standard Edition Runtime Environment (JRE) software is installed [/opt/nre/java/latest]:

Specify the host name of the NetWorker Authentication Service host [nsr.amer.lan]:

Specify the host name of the NetWorker Server to be Managed by NWUI [nsr.amer.lan]:

Specify the AUTHC port for Networker Server which is managed by NWUI [9090]:

The NetWorker Web UI Server requires a keystore file to configure encryption and to provide SSL support.
EMC recommends that you specify a password that has a minimum of nine characters,
with at least one upper case letter, one lower case letter, one number and one special character.

The installation process will create a new keystore file.

Specify the keystore password: HIDDEN_PASSWORD
Confirm the password: HIDDEN_PASSWORD

9. NWUIサービスを開始します。

systemctl start nwui

10. サービスが開始されていることを確認します。

systemctl status networker
systemctl status nwui

サーバーは、Networkerがデフォルトで導入するデフォルトの自己署名証明書で機能している必要があります。