Recherche dans <book_title>…

Guide de référence des codes d'état NetBackup™

Last Published: 2023-12-28

Product(s): NetBackup (10.3)

Code d'état NetBackup : 8798

Message: Impossible de valider le certificat de l'hôte, car le mode FIPS est activé.

Explication: Le service NetBackup Web Management Console (nbwmc) comprend de nombreux workflows qui interagissent avec d'autres produits ou sous-systèmes, tels que les suivants :

Pools de déduplication de serveur de médias (MSDP)
Veritas Resiliency Platform (VRP)
Serveurs WebSocket
Serveurs principaux approuvés d'autres domaines NetBackup (NetBackup Auto Image Replication)
Snapshot Manager

Ces interactions sont basées sur le protocole HTTPS et impliquent donc l'établissement d'une connexion SSL et la validation de la chaîne de certification de l'entité distante. Ces interactions commencent par appeler les API qui récupèrent les détails du certificat de l'autorité de certification de l'entité distante. Les détails du certificat, tels que les signatures, s'affichent ensuite sur l'écran de l'utilisateur final. Une fois le certificat accepté par l'utilisateur final, les détails du certificat sont conservés dans le magasin d'approbation approprié dans NetBackup. Les certificats d'autorité de certification stockés sont alors utilisés dans les workflows d'API ultérieurs pour vérifier l'identité de l'entité distante.

Les API de récupération du certificat de l'autorité de certification de l'entité distante ne valident pas le certificat du pair. NetBackup ne dispose d'aucun magasin d'approbation préconfiguré pour valider le pair lors de l'établissement de la connexion SSL. NetBackup demande à l'utilisateur de faire confiance aux certificats d'autorité de certification ou de les refuser avant la poursuite des opérations. Cependant, si FIPS est activé sur le serveur principal, les appels d'amorçage (qui récupèrent le certificat de l'autorité de certification de l'entité distante et demandent à l'utilisateur de leur faire confiance ou de les refuser) ne sont pas autorisés. L'application de FIPS requiert la vérification du certificat de serveur présenté par l'entité distante lors de l'établissement de la connexion SSL. Ces API ne fonctionnent donc plus lorsque le serveur principal s'exécute en mode FIPS.

Liste des API qui ne fonctionnent pas lorsque le mode FIPS est activé :

GET /config/remote-master-server-cacerts/{remoteMasterServer}

POST /config/servers/wssendpoints/validateurl

```
POST /config/servers/wssendpoints/validatehost
```
Cette API ne fonctionne pas lorsqu'un certificat n'est pas transmis dans la charge utile. Cependant, lorsque NetBackup est exécuté en mode FIPS, si un certificat n'est pas transmis, l'API renvoie une erreur différente.

GET /resiliency/servers/{resiliencyManager}/cacerts

```
POST /config/servers/msdp-servers
```
Applicable lors de l'ajout de nouveaux serveurs MSDP exécutant une version comprise entre la version 8.3 et la version 9.0, et à NetBackup 10.0 et versions ultérieures avec le mode FIPS activé.

Action recommandée: Pour résoudre ce problème, un magasin d'approbation temporaire compatible FIPS a été introduit dans NetBackup 10.0 et se trouve à l'emplacement suivant :

install_path/var/global/wsl/credentials/cacerts.bcfks

Lorsqu'un serveur principal NetBackup s'exécute en mode FIPS, les administrateurs doivent désormais s'assurer que le certificat d'autorité de certification de l'entité distante est déjà disponible dans le magasin d'approbation. Cette vérification doit être effectuée avant que les API ne soient appelées pour récupérer le certificat d'autorité de certification de l'entité distante. Les workflows d'API de services Web NetBackup utilisent ce magasin d'approbation pour vérifier l'identité de l'entité distante avec laquelle NetBackup communique.

Contactez votre administrateur NetBackup pour ajouter le certificat de l'autorité de certification du serveur cible au magasin d'approbation afin de valider l'authenticité du serveur.

Remarque :

Les étapes suivantes doivent être effectuées sur le serveur principal NetBackup configuré pour s'exécuter en mode FIPS.

La commande keytool disponible sur le serveur principal peut être utilisée pour importer les certificats d'autorité de certification dans le magasin d'approbation dans install_path /var/global/wsl/credentials/cacerts.bcfks. Les options -providerclass et -providerpath sont nécessaires, car le magasin d'approbation est au format BCFKS, le seul format de magasin entièrement compatible avec le mode FIPS.

Le certificat d'autorité de certification de l'entité distante doit être disponible dans un fichier codé au format PEM. Le certificat d'autorité de certification doit être copié sur le serveur principal NetBackup s'exécutant en mode FIPS.

La procédure d'exportation du certificat de l'autorité de certification de l'entité distante au format PEM peut varier. L'une des manières d'obtenir les informations est d'utiliser les commandes keytool suivantes. L'administrateur NetBackup doit se reporter à la documentation du produit/sous-système auquel NetBackup doit être intégré. Par exemple, dans le cadre de l'ajout d'un serveur VRP à NetBackup, la procédure d'obtention du certificat d'autorité de certification du serveur VRP au format PEM sera disponible dans la documentation VRP.

Utilisez les commandes keytool suivantes pour importer le certificat d'autorité de certification dans install_path/var/global/wsl/credentials/cacerts.bcfks :

Windows :

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

UNIX :

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

NetBackup n'a pas besoin de ces certificats d'autorité de certification une fois les appels d'amorçage effectués (les appels d'API ultérieurs utilisent un magasin d'approbation dont les entrées de certificat d'autorité de certification ont déjà été ajoutées). Veritas recommande de nettoyer les entrées une fois l'entité distante configurée dans NetBackup. Pour supprimer une entrée du keystore temporaire :

Windows :

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-delete -alias <alias of the entry to be deleted>

UNIX :

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-keystore /usr/openv/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> -delete 
-alias <alias of the entry to be deleted>

Procédez comme suit pour configurer un serveur principal approuvé.

Pour configurer un serveur principal approuvé

Procédez comme suit sur le serveur principal cible :

Exportez le certificat d'autorité de certification à partir d'un magasin d'approbation au format BCFKS à l'aide de la commande keytool :

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/lib/ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-exportcert -alias <alias of the cert to be exported> 
-keystore <BCFKS format trust store> -storepass <store password> -rfc 
-file <destination PEM file in which this CA certificate will be exported>

Exemple :

Windows :

install_path\jre\bin\keytool 
-providerpath install_path\wmc\lib\ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-storetype BCFKS -export -alias nbwmc -rfc 
-file <file name of the CA cert PEM> 
-keystore install_path\var\global\wsl\credentials\nbwebservice.bcfks 
-storepass <password from install_path\var\global\jkskey>

UNIX :

/usr/openv/java/jre/bin/keytool -providerpath /usr/openv/wmc/lib/ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-storetype BCFKS -export -alias nbwmc -rfc 
-file /usr/openv/var/global /wsl/credentials/nbwmc.pem 
-keystore /usr/openv/var/global/wsl/credentials/nbwebservice.bcfks 
-storepass <password from /usr/openv/var/global/jkskey>

Copiez le fichier PEM créé lors de l'exécution de la commande à l'étape 1, du serveur principal cible vers le serveur principal source.

Sur le serveur principal source, importez le certificat d'autorité de certification du fichier PEM dans install_path/var/global/wsl/credentials/cacerts.bcfks :

Windows :

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

UNIX :

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj-3.0.1.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

(Conditionnel) Pour importer le certificat d'autorité de certification du serveur principal source vers le serveur principal cible, suivez les étapes 1, 2 et 3. Pour l'étape 1, le serveur principal cible devient la source et la source devient la cible. Cette modification garantit que chacun des deux serveurs principaux dispose du certificat d'autorité de certification de l'autre serveur dans install_path/var/global/wsl/credentials/cacerts.bcfks.
Si l'entité distante dispose d'un keystore au format JKS, la commande suivante peut être utilisée pour exporter le certificat d'autorité de certification au format PEM.
Exportez le certificat d'autorité de certification à partir d'un magasin d'approbation au format JKS à l'aide de la commande keytool :
```
/usr/openv/java/jre/bin/keytool -exportcert 
-alias <alias of the cert to be exported> 
-keystore <trust store path> 
-storepass <store password> -rfc 
-file <destination PEM file in which this CA certificate will be exported>
```

Cliquez ici pour consulter les notes techniques et les autres informations disponibles sur le site Web de Support technique de Veritas au sujet de ce code d'état.