搜索 <book_title>...

NetBackup™ 状态码参考指南

Last Published: 2025-04-24

Product(s): NetBackup & Alta Data Protection (11.0)

NetBackup 状态码：8798

消息: 无法验证主机证书，因为已启用 FIPS 模式。

说明: NetBackup 网页管理操作界面服务 (nbwmc) 具有许多与其他产品和/或子系统交互的工作流程，例如：

介质服务器重复数据删除池 (MSDP)
Cohesity Resiliency Platform (VRP)
WebSocket 服务器
来自其他 NetBackup 域的可信主服务器（NetBackup 自动映像同步复制）
Snapshot Manager

这些交互通过 HTTPS 完成，因而涉及远程实体的 SSL 握手和证书链验证。这些交互首先调用 API，从远程实体获取 CA 证书详细信息，并向最终用户显示指纹等证书详细信息。一旦最终用户接受证书，证书详细信息便会保留在 NetBackup 的相应信任存储区中。存储的这些 CA 证书随后用于后续 API 工作流程，以验证远程实体的身份。

用于获取远程实体 CA 证书的 API 不会验证对等证书。NetBackup 没有预配置的信任存储区，无法在 SSL 握手期间验证对等证书。在继续操作之前，NetBackup 会请求用户信任此类 CA 证书或拒绝信任。但是，在主服务器上启用 FIPS 时，不允许执行引导调用（获取远程实体的 CA 证书并请求用户信任或拒绝）。强制执行 FIPS 需要验证远程实体在 SSL 握手期间显示的服务器证书。这意味着当主服务器以 FIPS 模式运行时，这些 API 不再有效。

启用 FIPS 模式时失效 API 的列表：

GET /config/remote-master-server-cacerts/{remoteMasterServer}

POST /config/servers/wssendpoints/validateurl

```
POST /config/servers/wssendpoints/validatehost
```
当未在负载中传递证书时，此 API 不起作用。尽管 NetBackup 是在 FIPS 模式下运行，但若未传递证书，API 则会返回其他错误。

GET /resiliency/servers/{resiliencyManager}/cacerts

```
POST /config/servers/msdp-servers
```
仅在添加了版本 8.3 或更高版本（最高为版本 9.0）的新后备 MSDP 服务器时才适用。还适用于启用了 FIPS 的 NetBackup 10.0 及更高版本。

建议操作: 为解决此问题，NetBackup 10.0 中引入了一个符合 FIPS 的临时信任存储区，其位置为：

install_path/var/global/wsl/credentials/cacerts.bcfks

当 NetBackup 主服务器在 FIPS 模式下运行时，管理员现在需要确保此信任存储区中已提供远程实体的 CA 证书。必须在调用 API 之前完成此检查，才能获取远程实体的 CA 证书。NetBackup Web 服务 API 工作流程使用此信任存储区来验证 NetBackup 与之通信的远程实体的身份。

请联系 NetBackup 管理员，以使用目标服务器的 CA 证书填充信任存储区，从而验证服务器的真实性。

注意:

需要对配置为在 FIPS 模式下运行的 NetBackup 主服务器执行以下步骤。

主服务器上提供的 keytool 命令可用于将 CA 证书导入信任存储区 install_path/var/global/wsl/credentials/cacerts.bcfks。需要 -providerclass 和 -providerpath 选项，因为信任存储区是 BCFKS 格式的信任存储区，也是唯一完全符合 FIPS 的存储格式。

远程实体的 CA 证书必须以 PEM 编码格式在文件中提供。CA 证书必须复制到在 FIPS 模式下运行的 NetBackup 主服务器。

将远程实体的 CA 证书导出为 PEM 格式文件的步骤可能有所不同。获取信息的方法之一是使用下列 keytool 命令。NetBackup 管理员需要参考 NetBackup 要集成的产品/子系统的文档。例如，在 NetBackup 中添加 VRP 服务器时，VRP 文档中会提供获取 VRP 服务器 CA 证书（采用 PEM 格式）的步骤。

使用以下 keytool 命令将 CA 证书导入到 install_path/var/global/wsl/credentials/cacerts.bcfks 中：

Windows：

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

UNIX：

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

在引导调用完成后，NetBackup 不需要这些 CA 证书（后续 API 调用会使用填充了这些 CA 证书条目的其他信任存储区）。Cohesity 建议在 NetBackup 中配置远程实体后清理条目。从临时 keystore 中删除条目：

Windows：

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-delete -alias <alias of the entry to be deleted>

UNIX：

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-keystore /usr/openv/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> -delete 
-alias <alias of the entry to be deleted>

执行以下过程以配置可信主服务器。

配置可信主服务器

在目标主服务器上执行以下操作：

使用 keytool 命令从 BCFKS 格式的信任存储区导出 CA 证书：

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-exportcert -alias <alias of the cert to be exported> 
-keystore <BCFKS format trust store> -storepass <store password> -rfc 
-file <destination PEM file in which this CA certificate will be exported>

示例：

Windows：

install_path\jre\bin\keytool 
-providerpath install_path\wmc\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-storetype BCFKS -export -alias nbwmc -rfc 
-file <file name of the CA cert PEM> 
-keystore install_path\var\global\wsl\credentials\nbwebservice.bcfks 
-storepass <password from install_path\var\global\jkskey>

UNIX：

/usr/openv/java/jre/bin/keytool -providerpath /usr/openv/wmc/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-storetype BCFKS -export -alias nbwmc -rfc 
-file /usr/openv/var/global /wsl/credentials/nbwmc.pem 
-keystore /usr/openv/var/global/wsl/credentials/nbwebservice.bcfks 
-storepass <password from /usr/openv/var/global/jkskey>

将步骤 1 命令运行期间创建的 PEM 文件从目标主服务器复制到源主服务器。

在源主服务器上，将 CA 证书从 PEM 文件导入到 install_path/var/global/wsl/credentials/cacerts.bcfks：

Windows：

install_path\java\jre\bin\keytool -storetype BCFKS 
-providerpath install_path\wmc\webserver\lib\ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path\var\global\wsl\credentials\cacerts.bcfks 
-storepass <password from the install_path\var\global\jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

UNIX：

/usr/openv/java/jre/bin/keytool -storetype BCFKS 
-providerpath /usr/openv/wmc/webserver/lib/ccj.jar 
-providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider 
-importcert -trustcacerts -file <CA certificate file (PEM encoded) path> 
-keystore install_path/var/global/wsl/credentials/cacerts.bcfks 
-storepass <password from the /usr/openv/var/global/jkskey file> 
-alias <alias name of the trusted certificate entry to be added>

（视情况而定）要将源主服务器的 CA 证书导入到目标主服务器，必须执行步骤 1、2 和 3。对于步骤 1，目标主服务器将成为源，源则成为目标。此更改可确保两台主服务器在 install_path/var/global/wsl/credentials/cacerts.bcfks 处均提供彼此的 CA 证书。
如果远程实体具有 JKS 格式的 keystore，可以使用以下命令导出 PEM 格式的 CA 证书。
使用 keytool 命令从 JKS 格式的信任存储区导出 CA 证书：
```
/usr/openv/java/jre/bin/keytool -exportcert 
-alias <alias of the cert to be exported> 
-keystore <trust store path> 
-storepass <store password> -rfc 
-file <destination PEM file in which this CA certificate will be exported>
```

单击此处查看 Veritas 技术支持网站中有关此状态码的技术说明和其他信息。