Veritas NetBackup™ Appliance 安全指南
关于实施外部证书
NetBackup Appliance 的 Web 服务使用 PKCS#12 标准,并要求证书文件采用 X.509 (.pem) 格式。如果证书文件采用 .der、.DER 或 .p7b 格式,NetBackup Appliance 则会自动将文件转换为接受的格式。
为防止在导入证书时出现错误,请确保外部证书文件满足以下要求。
证书文件采用
.pem文件格式,并以 “-----BEGIN CERTIFICATE-----” 开头。证书文件中证书的使用者备用名称 (SAN) 字段包含主机名和 FQDN。如果在 HA 环境中使用证书,则 SAN 字段必须包含 VIP、主机名和 FQDN。
使用者名称和公用名称字段不为空。
每个主机的使用者字段唯一。
使用者字段最多包含 255 个字符。
在证书中设置服务器和客户端身份验证属性。
证书的使用者和 SAN 字段中只使用 ASCII 7 字符。
私钥文件采用 PKCS#8 PEM 格式,并以 -----BEGIN ENCRYPTED PRIVATE KEY----- 或 -----BEGIN PRIVATE KEY----- 开头。
虽然可选,但您可以使用 Settings > Security > Certificate > CertificateSigningRequest > Create 命令生成 CSR。将 CSR 内容从命令行复制到外部证书门户,以获取所需的外部证书文件。
Example: Enter specified value or use the default value. Common Name (eg, your name or your server's hostname) [Default abc123]: Organizational Unit Name (eg, section) []:Appliance Organization Name (eg, company) [Default Company Ltd]:YourCompanyName Locality Name (eg, city) [Default City]:YourCity State or Province Name (full name) []:YourStateorProvince Country Name (2 letter code) [XX]:YourCountryName Email Address []:email@yourcompany.com Please enter the following 'extra' attributes to be sent with your certificate request. ----- A challenge password []:123456 An optional company name []:ABCD Subject Alternative Name (DNS Names and/or IP Addresses comma separated): abc123,def456.yourcompany.com Subject Alternative Name (email comma separated): Certificate Signing Request Name [Default abc123.csr]: Validity period (in days) [Default 365 days]: Ensure that the Distinguished Name (DN) is specified as a string consisting of a sequence of key=value pairs separated by a comma: Then the generated certificate signing request will be shown on the screen.
从版本 4.1 开始,可以使用 Settings > Security > Certificate > Import 命令在 NetBackup Appliance 和 NetBackup 上注册外部证书。
执行以下步骤以导入主机证书、主机私钥和信任存储区,以在 NetBackup 和 NetBackup Appliance 上注册外部证书。NetBackup 和 NetBackup Appliance 层都使用相同的主机证书、主机私钥和信任存储区。
- 以管理员用户身份登录设备。
- 从 NetBackup Appliance 命令行操作界面 中,运行 Settings > Security > Certificate > Import 命令。现在可以访问以下 NFS 和 CFS 共享位置:
NFS:
/inst/shareCFS:
\\<ApplianceName>\general_share
- 将证书文件、信任存储区文件和私钥文件上传到任一共享位置,并输入文件的路径。
- 选择如何访问证书吊销列表 (CRL)。CRL 包括外部证书已吊销且不应信任的外部证书的列表。选择以下任一选项:
使用证书文件中提供的 CRL 位置。
提供 CRL 文件 (
.crl) 在本地网络中的位置。请勿使用 CRL。
- 确认要在设备上注册证书文件的位置。
此处提供了如何导入证书的详细示例。
标识应导入的证书。
导入证书。
Enter the certificate: Enter the following details for external certificate configuration: Enter the certificate file path: cert_chain.pem Enter the trust store file path: cacerts.pem Enter the private key path: key.pem Enter the password for the passphrase file path or skip security configuration (default: NONE): Should a CRL be honored for the external certificate? 1) Use the CRL defined in the certificate. 2) Use the specific CRL directory. 3) Do not use a CRL. q) Skip security configuration. CRL option (1): 2 Enter the CRL location path: crl Then confirm input information and answer the subsequent questions.
可以使用 命令管理 NetBackup Appliance 上的外部证书。
您可以使用 Settings > > > 命令将服务器 CA、HTTPS 代理 CA 或 LDAP CA 证书添加到证书颁发机构列表。确保粘贴 PEM 或 P7B 格式的 CA 证书内容。设备会将此 CA 证书附加到证书颁发机构列表中。在附加 CA 证书之前,设备会验证该 CA 证书是否已在这个设备上使用。如果是,设备则会退出并显示一条消息。
您可以使用 Settings > > > 命令将服务器 CA 证书从证书颁发机构列表中删除。将列出可用的 CA 证书,您可以选择要删除的证书。