Search <book_title>...

Veritas NetBackup™ Appliance 安全指南

Last Published: 2018-03-08

Product(s): Appliances (3.1.1 (5340), 3.1.1 (5330), 3.1.1 (5240), 3.1.1 (5230), 3.1.1 (5220))

实施第三方 SSL 证书

您可以手动添加和实施第三方证书来获得 Web 服务支持。设备使用 Java KeyStore 作为安全证书的存储库。 Java KeyStore (JKS) 是一个安全证书存储库，与 SSL 加密中用于实例的授权证书或公钥证书一样。要在设备中实施第三方证书，您必须以根帐户身份登录。

注意:

如果您需要此过程相关的帮助，请与 Veritas 技术支持联系。

实施第三方 SSL 证书：

为 Web 服务准备 keystore 文件。

该过程会因您所用的 PKCS（公钥密码标准）类型而异。并且，不管您选择什么类型的 PKCS，keystore 文件必须包含以下关键字：

SubjectAlternativeName [

DNSName: hostnames and IP addresses

其中 hostnames 是设备的完全限定域名，IP address 对应于设备的完全限定域名。

]

下表介绍了使用 PKCS# 7 和 PKCS# 12 标准格式的步骤。

PKCS 格式	准备 keystore 文件
PKCS#7 或 X.509 格式	您可以使用下列链接：转换证书
PKCS#12 格式	执行下列操作：要将 PEM 格式的 x509 证书和私钥转换为 PKCS# 12，请键入以下命令： openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name tomcat -CAfile ca.crt -caname root 有关 openssl 用法的更多信息，请参考 https://www.openssl.org/。注意: 确保使用密码保护 PKCS #12 文件。如果未对该文件应用此密码，则在尝试导入该文件时可能会遇到空引用异常要将 pkcs12 文件转换为 Java Keystore，请键入以下命令： keytool -importkeystore -deststorepass appliance -destkeypass appliance -destkeystore keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass some- password -alias tomcat 注意: 为 -deststorepass 和 -destkeypass 选项指定相同的密码。否则，在 Web 服务器启动时可能会遇到异常。对于密码，仅支持字母数字字符。默认密码为 appliance。为 -alias 选项指定 `tomcat`。否则，在 Web 服务器启动时可能会遇到异常。注意: 有关 keytool 用法的更多信息，请参考以下链接： http://docs.oracle.com/javase/8/docs/technotes/tools/solaris/keytool.html

PKCS 格式

准备 keystore 文件

PKCS#7 或 X.509 格式

您可以使用下列链接：

转换证书

PKCS#12 格式

执行下列操作：

要将 PEM 格式的 x509 证书和私钥转换为 PKCS# 12，请键入以下命令：
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name tomcat -CAfile ca.crt -caname root
有关 openssl 用法的更多信息，请参考 https://www.openssl.org/。
注意:
确保使用密码保护 PKCS #12 文件。如果未对该文件应用此密码，则在尝试导入该文件时可能会遇到空引用异常
要将 pkcs12 文件转换为 Java Keystore，请键入以下命令：
keytool -importkeystore -deststorepass appliance -destkeypass appliance -destkeystore keystore -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass some- password -alias tomcat
注意:
为 -deststorepass 和 -destkeypass 选项指定相同的密码。否则，在 Web 服务器启动时可能会遇到异常。对于密码，仅支持字母数字字符。默认密码为 appliance。
为 -alias 选项指定 tomcat。否则，在 Web 服务器启动时可能会遇到异常。
注意:
有关 keytool 用法的更多信息，请参考以下链接：
http://docs.oracle.com/javase/8/docs/technotes/tools/solaris/keytool.html

键入以下命令以关闭数据库和相关服务：
/opt/IMAppliance/scripts/infraservices.sh database stop
systemctl stop nginx
/opt/IMAppliance/scripts/infraservices.sh database stop
/opt/IMAppliance/scripts/infraservices.sh webserver stop
将现有的 keystore 文件替换为以下目录中的新 keystore 文件：
/opt/apache-tomcat/security/
将权限设置为新的 keystore 文件：
chmod 700 /opt/apache-tomcat/security
chmod 600 /opt/apache-tomcat/security/keystore
chown –R tomcat:tomcat /opt/apache-tomcat/security
如果在前面的步骤中使用自己的非默认密码，则键入以下命令以更新 Web 服务器配置：
/opt/apache-tomcat/vrts/scripts/tomcat_instance.py update --keystore --password <your password>
在 /etc/rc.d/init.d/as-functions 文件中更新 Tomcat_Keystore 和 Tomcat_Keystore_Passwd 设置。
将证书导入到 mongo_server_part_pam 文件，并从 /etc/vxos-ssl/cert.conf 中获取 server-Cert，然后将证书导入到其中。
/usr/bin/openssl pkcs12 -in server.p12 -out <server_cert> -passin pass:
<keyPassword> -passout pass: <keyPassword>
将证书导入到 client_part_pam 文件，并从 /etc/vxos-ssl/cert.conf 中获取 client_cert，然后将证书导入到其中：
/usr/bin/openssl pkcs12 -nokeys -in server.p12 -out <server_cert> -passin pass:
<keyPassword> -passout pass: <keyPassword>
如果自定义的密码与 /etc/vxos-ssl/cert.conf 中的 pem_password 不同，则修改 /etc/vxos-ssl/cert.conf 以使用自定义的密码。
键入以下命令以重新启动 nginx：
/usr/sbin/update-nginx-conf.sh
service nginx stop
service nginx start
键入以下命令以重新启动 Web 服务：
/opt/IMAppliance/scripts/infraservices.sh database start
/opt/IMAppliance/scripts/infraservices.sh webserver start
键入以下命令以重新启动 AutoSupport 服务：
service as-alertmanager stop
service as-analyzer stop
service as-transmission stop
service as-alertmanager start
service as-analyzer start
service as-transmission start