NetWorker:NMCの認証局署名済み証明書をインポートまたは置換する方法」

概要: 次の手順では、NetWorker Management Console (NMC)サーバー上のデフォルトのNetWorker自己署名証明書をCA署名済み証明書に置き換える方法について説明します。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

手順

以下の手順では、デフォルトのNetWorker自己署名証明書をNetWorker Management Console (NMC)のCA署名済み証明書に置き換える方法について説明します。このKBでは、WindowsとLinuxの両方のNMCサーバーの手順について説明します。

NetWorkerサーバー認証サービス(AUTHC)およびNetWorker Webユーザー インターフェイス(NWUI)の自己署名証明書をCA署名済み証明書に置き換えるプロセスの詳細は、次のオペレーティング システム固有の記事を参照してください。

関連する証明書:

  • <server>.csrファイルに置き換えます。NetWorker Management Console Serverのcertificate signing request(証明書署名要求)

  • <server>.keyファイルに置き換えます。NetWorker Management Console Serverのprivate key(プライベート キー)

  • <server>.crtファイルに置き換えます。NetWorker Management Console ServerのCA-signed certificate(CA署名済み証明書)

  • <CA>.crtファイルに置き換えます。CAルート証明書

  • <ICA>.crtファイルに置き換えます。CA中間証明書(使用可能な場合はオプション)

メモ: ここで、<server>はNMCサーバーの短い名前です。

作業を開始する前に:

このプロセスでは、OpenSSLユーティリティーを使用します。このユーティリティーは、Linuxオペレーティング システムではデフォルトで提供されていますが、Windowsシステムには含まれていません。OpenSSLのインストールについては、システム管理者に問い合わせてください。インストールされているNetWorkerのバージョンに応じて、必要なOpenSSLのバージョンは異なります。

  • NetWorker 19.9~19.11にはopensslバージョン1.1.1nが必要 
  • NetWorker 19.12.0.0(Linuxのみ)は、opensslバージョン3.0.14をサポート
  • NetWorker 19.12.0.2(Windowsのみ)は、opensslバージョン3.0.14をサポート
警告:OpenSSLの誤ったバージョンを使用すると、NMCのGSTDプロセスは起動に失敗します。「NetWorker:NMC GSTサービスが開始され、cakey.pemを交換した後、すぐにシャットダウンします。

OpenSSLのバージョンは、次の方法で確認できます。

Linuxの場合 
# openssl version
Windowsの場合:
  1. Windowsエクスプローラーから、 openssl.exeの場所に移動します。このパスは、OpenSSLのインストール方法によって異なる場合があります。
  2. openssl.exeファイルを開き、[Details]タブに移動します。[Product Version]フィールドには、OpenSSLバージョンの詳細が表示されます。
OpenSSLバージョンの詳細

または、 openssl.exe ファイル パスがシステムの PATH 変数の一部である場合は、openssl versionコマンドを管理コマンド プロンプトから実行できます。「 openssl.exe 」を含むディレクトリーが PATHに含まれていない場合は、ディレクトリー変更(cd)で「 openssl.exeの詳細を確認してください。

CAに提供するプライベート キーと証明書署名要求(CSR)ファイルを生成します。

  1. NMCサーバーで、OpenSSLコマンドライン ユーティリティーを使用して、NetWorkerサーバーのプライベート キー ファイル(<server>.key)およびCSRファイル(<server>.csr)を作成します。
    Linuxの場合:
# openssl req -new -newkey rsa:4096 -nodes -out /tmp/<server>.csr -keyout /tmp/<server>.key

Windowsの場合:

set openssl="<Full system path to the openssl.exe file>"
%openssl% req -new -newkey rsa:4096 -nodes -out "C:\tmp\<server>.csr" -keyout "C:\tmp\<server>.key"
CSRファイルとキー ファイルは、次の場合に任意の場所に配置できます。 C:\tmp は存在しません。
 
  1. CSRファイル(<server>.csr)をCAに送信し、CA署名済み証明書ファイルを生成してもらいます(<server>.crt)を提供する必要があります。CAは、CA署名済み証明書ファイル(<server>.crt)、ルート証明書(<CA>.crt)、および中間CA証明書(<ICA>.crt)を提供する必要があります。

Linux NetWorker Management Console (NMC)サーバー:

  1. CA署名済み証明書を、個々のキー ファイルまたはPFX形式の単一ファイルで取得します。
  2. CA署名済み証明書が単一のPFXファイルに含まれている場合は、OpenSSLツールと同様に、プライベート キーとCA署名済み証明書を抽出できます(WindowsにOpenSSLがインストールされていない場合があるため、個別にインストールできます)。
メモ: この手順を実行する際は、 .crt.key ファイルを、証明書ファイルおよびキー ファイルのファイル名を含む完全なファイル パスに置き換えてください。
  1. PFXファイルからプライベート キーとCA署名済み証明書を抽出します。
プライベート キー:
# openssl pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA証明書:
# openssl pkcs12 -in <file>.pfx -out <server>.crt -nokeys
      1. の整合性の検証 server.keyserver.crtの詳細を確認してください。
メモ: 出力に、これら2つの出力から同じチェックサム ハッシュが表示されていることを確認します。異なる場合は、問題があります。同じ場合は、次の手順に進みます。
プライベート キー:
# openssl pkey -in <server>.key -pubout -outform pem | sha256sum
CA証明書:
# openssl x509 -in <server>.crt -pubkey -noout -outform pem | sha256sum
      1.  プライベート キー、CA署名済みサーバー証明書、ルートCA(および中間証明書)をPEM形式に変換します。
プライベート キー:
# openssl rsa -in <server>.key -outform pem -out server.key.pem
CA署名済みサーバー証明書:
# openssl x509 -in <server>.crt -outform pem -out server.crt.pem
ルートCA証明書:
# openssl x509 -in CA.crt -outform pem -out CA.crt.pem
中間CA証明書(利用可能な場合):
# openssl x509 -in ICA.crt -outform pem -out ICA.crt.pem
  1. server.key.pem、ルート CA.crt、中間証明書(該当する場合)、および署名済みサーバー証明書を結合し、NMC用の cakey.pem ファイルを作成します。
# cat server.key.pem CA.crt.pem ICA.crt.pem server.crt.pem > cakey.pem
  1. NMCサーバーの gst サービスを起動します。
# systemctl stop gst
  1. 既存の cakey.pem ファイルのコピーを作成し、その後、デフォルトのファイルを手順2のDで作成したファイルに置き換えます。
# cp /opt/lgtonmc/etc/cakey.pem /opt/lgtonmc/etc/cakey.pem_orig
# cp cakey.pem /opt/lgtonmc/etc/cakey.pem
メモ:cakey.pem ファイルはポート 9001 に対応します。このファイルを手順2,Dで作成した結合ファイルに置き換えると、自己署名証明書がCA署名付き証明書に置き換えられます。
  1. NMCサーバーの server.crtserver.key ファイルのコピーを作成し、元のファイルを署名済みの server.crtserver.keyファイルに置き換えます。
# cp /opt/lgtonmc/apache/conf/server.crt /opt/lgtonmc/apache/conf/server.crt_orig
# cp <server>.crt  /opt/lgtonmc/apache/conf/server.crt
# cp /opt/lgtonmc/apache/conf/server.key /opt/lgtonmc/apache/conf/server.key_orig
# cp <server>.key /opt/lgtonmc/apache/conf/server.key
メモ: 上記のファイルの置き換えは、ポート9000に対応しています。上記のファイルを置き換えた後、ポート9000の自己署名証明書はCA署名証明書に置き換えられます。
  1. NMCサーバーの gst サービスを起動します。
# systemctl start gst
  1. NMCサーバーの監視 /opt/lgtonmc/logs/gstd.raw エラーがないか。

NetWorker:nsr_render_logを使用して.rawログ ファイルをレンダリングする方法

メモ: 問題が発生した場合は、バックアップ コピーに戻すことができます。copyコマンドを使用して元のファイルを上書きすることで、ファイルの所有権および権限が正しく保持されます。これらのファイルは、デフォルトのNMCサービス アカウント(nsrnmc)が所有し、権限は 600 に設定されている必要があります。

確認:

NMCサーバーの gst サービスが実行されている場合は、NMCサーバで次のコマンドを実行します。

openssl s_client -connect localhost:9001 -showcerts 2>/dev/null </dev/null
openssl s_client -connect localhost:9000 -showcerts 2>/dev/null </dev/null

Example:

nve:~ # openssl s_client -connect localhost:9001 -showcerts 2>/dev/null </dev/null
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=CA/ST=Ontario/L=Toronto/O=Dell Technologies/OU=DPD/CN=nve.networker.lan
   i:/C=CA/ST=Ontario/L=Toronto/O=Dell Technologies/OU=DPD/CN=dc.networker.lan
...
...

nve:~ # openssl s_client -connect localhost:9000 -showcerts 2>/dev/null </dev/null
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=CA/ST=Ontario/L=Toronto/O=Dell Technologies/OU=DPD/CN=nve.networker.lan
   i:/C=CA/ST=Ontario/L=Toronto/O=Dell Technologies/OU=DPD/CN=dc.networker.lan
...
...
nve:~ #

 

Windows NetWorker Management Console (NMC)サーバー:

  1. CA署名済み証明書を、個々のキー ファイルまたはPFX形式の単一ファイルで取得します。
  2. CA署名済み証明書が単一のPFXファイルに含まれている場合は、OpenSSLツールと同様に、プライベート キーとCA署名済み証明書を抽出できます(Windowsには通常、OpenSSLはインストールされていません。必要に応じて個別にインストールできます)。
メモ: この手順を実行する際は、 .crt.key ファイルを、証明書ファイルおよびキー ファイルのファイル名を含む完全なファイル パスに置き換えてください。
  1. PFXファイルからプライベート キーとCA署名済み証明書を抽出します。
プライベート キー:
%openssl% pkcs12 -in <file>.pfx -out <server>.key -nodes -nocerts
CA証明書:
%openssl% pkcs12 -in <file>.pfx -out <server>.crt -nokeys
      1. の整合性の検証 server.keyserver.crtの詳細を確認してください。
メモ: 出力に、これら2つの出力から同じチェックサム ハッシュが表示されていることを確認します。異なる場合は、問題があります。同じ場合は、次の手順に進みます。
プライベート キー:
%openssl% pkey -in <server>.key -pubout -outform pem | %openssl% dgst -sha256
CA証明書:
%openssl% x509 -in <server>.crt -pubkey -noout -outform pem | %openssl% dgst -sha256
      1. プライベート キー、CA署名済みサーバー証明書、ルートCA(および中間証明書)をPEM形式に変換します。
プライベート キー:
%openssl% rsa -in <server>.key -outform pem -out C:\tmp\server.key.pem
CA署名済みサーバー証明書:
%openssl% x509 -in <server>.crt -outform pem -out C:\tmp\server.crt.pem
  1. server.key.pemsever.crt.pem ファイルをNMC用の cakey.pem ファイルに結合します。これには、以下のPowerShellコマンドを使用することをお勧めします。
PS C:\tmp> Get-Content server.key.pem,server.crt.pem | Out-File cakey.pem -Encoding ascii
メモ: 「Fusion」 -Encoding ascii が設定されていない場合、次の問題が発生する可能性があります。NetWorker:証明書を置き換えた後、Windows NMCサーバーがGSTDサービスを開始できない」
  1. NMCサーバーの gst サービスを起動します。
net stop gstd
  1. 元の cakey.pemファイルのコピーを作成した後、結合したCA署名済みファイル cakey.pem を元の場所に配置します。
copy "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem" "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem_orig"
copy C:\tmp\cakey.pem "C:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem"
メモ: 元のファイルを上書きするように求められます。証明書の原本のコピーがあるため、証明書を上書きします。元のファイルを上書きすると、ファイルの所有権および権限が保持されます。「 cakey.pem ファイルはポート 9001 に対応します。このファイルを手順2,Dで作成した結合ファイルに置き換えると、自己署名証明書がCA署名付き証明書に置き換えられます。
  1. NMCサーバーの server.crtserver.key ファイルのコピーを作成し、元のファイルを署名済みの server.crtserver.keyファイルに置き換えます。
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt_orig"
copy "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key" "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key_orig"
copy <server>.crt "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
copy <server>.key "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
メモ: 上記のファイルの置き換えは、ポート9000に対応しています。上記のファイルを置き換えた後、ポート9000の自己署名証明書はCA署名証明書に置き換えられます。
  1. NMCサーバーの gst サービスを起動します。
net start gstd
  1. NMCサーバーの監視 C:\Program Files\EMC NetWorker\Management\GST\logs\gstd.raw エラーがないか。

NetWorker:nsr_render_logを使用して.rawログ ファイルをレンダリングする方法

メモ: 問題が発生した場合は、バックアップ コピーに戻すことができます。copyコマンドを使用して元のファイルを上書きすることで、ファイルの所有権および権限が正しく保持されます。これらのファイルは、デフォルトのNMCサービス アカウント(nsrnmc)が所有し、権限は 600 に設定されている必要があります。

確認:

NMCサーバーの gst サービスが実行されている場合は、NMCサーバーのPowerShellから次のコマンドを実行し、 ポートを置き換えます。ポート9000に対して1回、ポート9001に対して1回実行します。

param(
    [string]$Server = "localhost",
    [int]$Port = PORT
)

$tcp = [System.Net.Sockets.TcpClient]::new()
$tcp.Connect($Server, $Port)

# Accept any certificate so we can inspect it (this is inspection only)
$ssl = [System.Net.Security.SslStream]::new(
    $tcp.GetStream(),
    $false,
    { param($sender, $cert, $chain, $errors) $true }
)

try {
    # SNI/target host is the $Server value
    $ssl.AuthenticateAsClient($Server)

    $remoteCert = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($ssl.RemoteCertificate)

    # Some keys use CNG and PublicKey.Key can be $null; fall back safely
    $keySize = try { $remoteCert.PublicKey.Key.KeySize } catch { $null }
    if (-not $keySize) { $keySize = ($remoteCert.PublicKey.EncodedKeyValue.RawData.Length * 8) }

    "=== Certificate (from $($Server):$Port) ==="
    "Subject                 : $($remoteCert.Subject)"
    "Issuer                  : $($remoteCert.Issuer)"
    "NotBefore               : $($remoteCert.NotBefore)"
    "NotAfter                : $($remoteCert.NotAfter)"
    "Public Key              : $($remoteCert.PublicKey.Oid.FriendlyName) ($keySize-bit)"
    "Signature Algorithm     : $($remoteCert.SignatureAlgorithm.FriendlyName)"
}
finally {
    $ssl.Dispose()
    $tcp.Dispose()
}

Example:

PS C:\Users\Administrator.NETWORKER> param(
>>     [string]$Server = "localhost",
>>     [int]$Port = 9001
>> )
PS C:\Users\Administrator.NETWORKER>
PS C:\Users\Administrator.NETWORKER> $tcp = [System.Net.Sockets.TcpClient]::new()
PS C:\Users\Administrator.NETWORKER> $tcp.Connect($Server, $Port)
PS C:\Users\Administrator.NETWORKER>
PS C:\Users\Administrator.NETWORKER> # Accept any certificate so we can inspect it (this is inspection only)
PS C:\Users\Administrator.NETWORKER> $ssl = [System.Net.Security.SslStream]::new(
>>     $tcp.GetStream(),
>>     $false,
>>     { param($sender, $cert, $chain, $errors) $true }
>> )
PS C:\Users\Administrator.NETWORKER>
PS C:\Users\Administrator.NETWORKER> try {
>>     # SNI/target host is the $Server value
>>     $ssl.AuthenticateAsClient($Server)
>>
>>     $remoteCert = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($ssl.RemoteCertificate)
>>
>>     # Some keys use CNG and PublicKey.Key can be $null; fall back safely
>>     $keySize = try { $remoteCert.PublicKey.Key.KeySize } catch { $null }
>>     if (-not $keySize) { $keySize = ($remoteCert.PublicKey.EncodedKeyValue.RawData.Length * 8) }
>>
>>     "=== Certificate (from $($Server):$Port) ==="
>>     "Subject                 : $($remoteCert.Subject)"
>>     "Issuer                  : $($remoteCert.Issuer)"
>>     "NotBefore               : $($remoteCert.NotBefore)"
>>     "NotAfter                : $($remoteCert.NotAfter)"
>>     "Public Key              : $($remoteCert.PublicKey.Oid.FriendlyName) ($keySize-bit)"
>>     "Signature Algorithm     : $($remoteCert.SignatureAlgorithm.FriendlyName)"
>> }
>> finally {
>>     $ssl.Dispose()
>>     $tcp.Dispose()
>> }
=== Certificate (from localhost:9001) ===
Subject                 : CN=win-srvr02.networker.lan, OU=DPD, O=Dell Technologies, L=Toronto, S=Ontario, C=CA
Issuer                  : CN=dc.networker.lan, OU=DPD, O=Dell Technologies, L=Toronto, S=Ontario, C=CA
NotBefore               : 03/09/2026 15:42:43
NotAfter                : 06/11/2028 15:42:43
Public Key              : RSA (2048-bit)
Signature Algorithm     : sha256RSA

PS C:\Users\Administrator.NETWORKER> param(
>>     [string]$Server = "localhost",
>>     [int]$Port = 9000
>> )
PS C:\Users\Administrator.NETWORKER>
PS C:\Users\Administrator.NETWORKER> $tcp = [System.Net.Sockets.TcpClient]::new()
PS C:\Users\Administrator.NETWORKER> $tcp.Connect($Server, $Port)
PS C:\Users\Administrator.NETWORKER>
PS C:\Users\Administrator.NETWORKER> # Accept any certificate so we can inspect it (this is inspection only)
PS C:\Users\Administrator.NETWORKER> $ssl = [System.Net.Security.SslStream]::new(
>>     $tcp.GetStream(),
>>     $false,
>>     { param($sender, $cert, $chain, $errors) $true }
>> )
PS C:\Users\Administrator.NETWORKER>
PS C:\Users\Administrator.NETWORKER> try {
>>     # SNI/target host is the $Server value
>>     $ssl.AuthenticateAsClient($Server)
>>
>>     $remoteCert = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($ssl.RemoteCertificate)
>>
>>     # Some keys use CNG and PublicKey.Key can be $null; fall back safely
>>     $keySize = try { $remoteCert.PublicKey.Key.KeySize } catch { $null }
>>     if (-not $keySize) { $keySize = ($remoteCert.PublicKey.EncodedKeyValue.RawData.Length * 8) }
>>
>>     "=== Certificate (from $($Server):$Port) ==="
>>     "Subject                 : $($remoteCert.Subject)"
>>     "Issuer                  : $($remoteCert.Issuer)"
>>     "NotBefore               : $($remoteCert.NotBefore)"
>>     "NotAfter                : $($remoteCert.NotAfter)"
>>     "Public Key              : $($remoteCert.PublicKey.Oid.FriendlyName) ($keySize-bit)"
>>     "Signature Algorithm     : $($remoteCert.SignatureAlgorithm.FriendlyName)"
>> }
>> finally {
>>     $ssl.Dispose()
>>     $tcp.Dispose()
>> }
=== Certificate (from localhost:9000) ===
Subject                 : CN=win-srvr02.networker.lan, OU=DPD, O=Dell Technologies, L=Toronto, S=Ontario, C=CA
Issuer                  : CN=dc.networker.lan, OU=DPD, O=Dell Technologies, L=Toronto, S=Ontario, C=CA
NotBefore               : 03/09/2026 15:42:43
NotAfter                : 06/11/2028 15:42:43
Public Key              : RSA (2048-bit)
Signature Algorithm     : sha256RSA

その他の情報

NMCの自己署名証明書がCA署名済み証明書に置き換えられた後でも、NMCランチャーからNMCサーバーへの接続中に次の警告が表示されることがあります。

証明書を発行した認証局が信頼されていない

[View Certificate Details]をクリックします。証明書の詳細から、CA署名済み証明書が使用されていることを検証できます。 

署名済み証明書がNMCクライアントの信頼できるルート証明書にないため、警告が表示されています。
 

メモ: NMCクライアントは、NMCへのアクセスに使用される任意のホストです。

この警告は無視してかまいません。必要に応じて、NMCサーバーのCA署名済み証明書をNMCクライアントの信頼できるルート証明書にインポートすることもできます。

  1. NMCサーバーのCA署名済み証明書(<server>.crt)を、NMCクライアント ホストの任意のフォルダーにコピーします。
  2. CA署名済み証明書のプロパティーを開きます。
  3. Install Certificate]をクリックします。
  4. Local Machine]を選択します。
  5. Place all certificates in the following store]を選択します。
  6. Browse]をクリックします。
  7. Trusted Root Certification Authorities]を選択し、[OK]をクリックします。
  8. [次へ]をクリックします
  9. 完了]をクリックします。
  10. インポートが失敗したか成功したかを示すメッセージが表示されたら、[OK]をクリックします。
  11. CA署名済み証明書のプロパティーで、[OK]をクリックします。

次回のNMC起動時には、セキュリティ警告は表示されません。

対象製品

NetWorker, NetWorker Management Console

製品

NetWorker Family
文書のプロパティ
文書番号: 000269947
文書の種類: How To
最終更新: 10 3月 2026
バージョン:  9
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。