Veritas NetBackup™ 安全和加密指南
- 不断提高的 NetBackup 安全
- 安全部署模型
- 端口安全
- 审核 NetBackup 操作
- 访问控制安全
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 关于 AD 和 LDAP 域
- 使用 NetBackup CA 和 NetBackup 证书进行安全管理
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 关于审核事件
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- NetBackup 中的外部 CA 支持
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 关于 NetBackup 中的 API 密钥
- 静态数据加密安全
- 静态数据密钥管理
- 重新生成 密钥和证书
- NetBackup Web 服务帐户
创建授权令牌
视证书部署安全设置而定,NetBackup 主机可能需要授权令牌,以便从证书颁发机构(主服务器)获取基于主机 ID 的证书。
请参见创建重新发布令牌。
如果安全设置为“非常高”,则所有证书请求都需要令牌。执行本主题中介绍的程序。
如果安全设置为“高”,证书将自动部署到主服务器已知的主机上。如果主机对于主服务器是未知的,必须使用授权令牌部署证书。在此情况下,请执行本主题中介绍的程序。
如果要了解对于主服务器已知的意义,请参阅下列主题:
如果安全设置为“中”,则不太可能执行此程序,因为证书会自动部署到请求证书的所有主机上。但是,主服务器必须能够交叉验证请求证书的主机的 IP 和主机名。
注意:
必须具有令牌,才能代表未连接到主服务器的主机请求证书。
注意:
若要为当前证书处于无效状态(因为丢失、损坏或失效)的 NetBackup 主机创建授权令牌,请不要使用此程序。在这些情况下,必须使用重新发布令牌。
主服务器的 NetBackup 管理员可以使用“NetBackup 管理控制台”或命令行来创建令牌。
使用 NetBackup 管理控制台创建令牌
- 在“NetBackup 管理控制台”中,展开“安全管理”>“证书管理”>“令牌管理”。
- 在“操作”菜单上,选择“新令牌”。
将显示“创建令牌”对话框。
- 为令牌输入唯一且具有意义的名称。该字段不能留空。
例如,要为属于 master_server_1 的多个主机创建用于请求证书的令牌,请将令牌命名为 Token1_MS1。最佳做法是在令牌的“原因”字段中撰写有用的描述。
- 对于令牌可以使用的次数,请在“允许的最大使用次数”选项中输入一个数字。默认值为 1,表示一个主机可以使用令牌一次。
要将同一个令牌用于多个主机,请输入一个介于 1 和 99999 之间的任意值。例如,要将令牌用于 8 个主机,请输入 8。尝试使用令牌的第九个主机将不会成功。
- 使用“有效期限”选项可指出令牌在无效且无法使用之前可以使用的时长。在“有效期限”日期后,主服务器必须生成另一个令牌。
选择一个介于 1 和 999 小时或天之间的期限。
- (可选)输入创建令牌的原因。该原因以及对话框中的其他条目显示在审核日志中。
- 选择“创建”。
- 新令牌即会显示在对话框中。选择“复制”将令牌值保存到剪贴板。
- 将令牌值传送给非主服务器主机的管理员。令牌的传送方式取决于环境中的各种安全因素。可通过电子邮件、文件或口头传输令牌。
- 非主服务器主机的管理员使用令牌从证书颁发机构取得基于主机 ID 的证书。有关说明,请参见以下过程:
请参见部署基于主机 ID 的证书。
使用 nbcertcmd 命令创建令牌
- 在主机上运行以下命令:
nbcertcmd -createToken -name token_name
例如:
nbcertcmd -createToken -name testtoken
已成功创建令牌 FCBVYUTDUIELUDOE。
可以使用其他参数指示最大使用次数、有效期和创建原因。
有关 nbcertcmd 命令的信息,请参见 NetBackup 命令参考指南。