netbackup如何手动获取主机ID证书。
如何手动获取主机ID证书。
问题
从NetBackup V8.1开始,管理员需要在证书颁发机构(CA)(主服务器)与任何NetBackup介质服务器或客户端之间配置信任关系。管理员可以在部署NetBackup时或在部署完成后配置此信任关系。在建立此信任关系之前,NetBackup无法正常运行。例如,备份和还原可能会失败。 有关主机证书的更详细讨论,请参考“ Veritas NetBackup安全和加密指南”。
这里有几种情况需要管理员在主服务器和媒体服务器或客户端之间手动设置信任。
- 用户决定跳过部署主机证书的交互式安装
- 推送安装/静默安装,用户将SKIP放入/tmp/NBInstallAnswer.conf文件中。
- 集群
- 的LiveUpdate
- 客户端受多个主服务器的保护
本文档介绍了建立信任所需的手动步骤。
解
以下步骤详细说明了如何在主服务器,介质服务器和客户端之间设置信任。在每个方案中,手动获取主机证书的步骤类似。注意到任何警告。
检索并存储CA证书
在介质服务器或客户端上,确定此NetBackup主服务器是否存在CA证书。
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -displayCACertDetail -server mymaster
UNIX:<install_path> / netbackup / bin / nbcertcmd -displayCACertDetail -server mymaster
输出将类似于以下内容:
从服务器mymaster成功收到CA证书。
主题名称:/ CN = nbatd / OU = root @ mymaster.mydomain.com/O=vx
开始日期:Dec 18 13:34:26 GMT
截止日期:Dec 13 14:49:26 2032 GMT
SHA1指纹:0E: 19:AF:AF:DB:A6:7F:A7:BA:AF:62:54:E8:9B:D4:6C:8A:06:E2:CF
CA证书状态:不信任
请注意“ CA证书状态 ”。 “受信任”表示CA证书已存在于myhost上的证书存储中。 “不可信”表示证书存储中不存在CA证书。
如果CA证书为“不受信任”,则必须从NetBackup主服务器检索该证书。请与您的备份管理员联系,以获取CA的正确SHA1指纹值。如果您可以访问主服务器,则可以运行以下命令以显示SHA1指纹。
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -listCACertDetails
UNIX:<install_path> / netbackup / bin / nbcertcmd -listCACertDetails
输出将类似于以下内容:
主题名称:/ CN = nbatd / OU = root @ mymaster.com/O=vx
开始日期:Sep 16 10:37:58 2016 GMT截止
日期:Sep 11 11:52:58 2036 GMT
SHA1指纹:C3:5E: 2E:21:78:DF:47:0D:FF:6A:45:7A:0E:7F:1B:98:B1:F2:92:CA
如果主服务器具有多个CA证书,则该命令将显示多个证书条目。您可以使用输出中的“ 主题名称 ”来确定证书与主服务器之间的映射。
部署CA证书
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -getCACertificate -server mymaster
UNIX:<install_path> / netbackup / bin / nbcertcmd -getCACertificate -server mymaster
如果运行命令的介质服务器或客户端成功完成,则输出类似于以下内容:
Authenticity of root certificate cannot be established.The SHA1 fingerprint of root certificate is C3:5E:2E:21:78:DF:47:0D:FF:6A:45:7A:0E:7F:1B:98:B1:F2:92:CA.Are you sure you want to continue using this certificate ? (y/n): yThe validation of root certificate fingerprint is successful.CA certificate stored successfully from server mymaster.
要确认已部署CA证书:
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -displayCACertDetail -server mymaster
UNIX:<install_path> / netbackup / bin / nbcertcmd -displayCACertDetail -server mym aster
如果成功,输出将类似于以下内容:
C A Certificate received successfully from server mymaster. Subject Name : /CN=nbatd/OU=root@mymaster.com/O=vx Start Date : Sep 16 10:37:58 2016 GMT Expiry Date : Sep 11 11:52:58 2036 GMT SHA1 Fingerprint : C3:5E:2E:21:78:DF:47:0D:FF:6A:45:7A:0E:7F:1B:98:B1:F2:92:CA CA Certificate State : Trusted
获取介质服务器或客户端的主机ID证书
尝试手动获取主机ID证书时,必须考虑以下因素:
- 主服务器上的NetBackup后台驻留程序或服务必须处于活动状态。
- NetBackup主服务器上配置的安全级别。
- NetBackup主服务器是否已为此介质服务器或客户端颁发了主机证书?
- 如果主机证书请求是针对客户端的,那么是否存在与NetBackup主服务器的网络连接?
所述nbcertcmd命令试图通过错误代码和信息性消息,通知这些条件的用户。这些错误的例子详述如下。
因素:主服务器上的NetBackup后台驻留程序或服务必须处于活动状态
如果主服务器服务/守护程序未处于活动状态,则在尝试运行nbcertcmd时将显示以下错误:
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -displayCACertDetail -server mymaster
UNIX:<install_path> / netbackup / bin / nbcertcmd -displayCACertDetail -server mymaster
输出将类似于以下内容: Failed to display CA certificate detailsnbcertcmd: The -displayCACertDetail operation failed.EXIT STATUS 26: client/server handshaking failed
因素:NetBackup主服务器上配置的安全级别
要确定主服务器上的安全级别,请运行主服务器上显示的命令:
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -getSecConfig -certDeployLevel
UNIX:<install_path> / netbackup / bin / nbcertcmd -getSecConfig -certDeployLevel
输出将类似于以下内容:
证书部署的安全性:<非常高,高或中>
安全级别的定义如下:
安全级别
|
描述
|
---|---|
很高
|
如果主服务器可以将主机名解析为发出请求的IP地址,则颁发的证书没有授权令牌。这应该是:每个新证书请求都必须附带授权令牌。
|
高
(默认) |
在确认主服务器指纹或通过nbcertcmd命令后,在安装期间将证书部署在主机上。如果主服务器已知主机,则不需要授权令牌。 如果可以在以下实体中找到主机,则认为主服务器已知主机: 1.如果主机是根据NetBackup配置文件(Windows注册表或UNIX上的bp.conf文件)中的以下任何选项列出的: ■APP_PROXY_SERVER 2.如果主机在altnames文件(ALTNAMESDB_PATH)中列为客户端名称。 3.如果主机出现在主服务器的EMM数据库中。 4.如果存在至少一个不到6个月的客户目录图像。 5.如果客户端列在至少一个备份策略中。 6.如果客户端是旧客户端。也就是说,客户端列在主机属性 - >主服务器 - >客户端属性中。 |
介质
|
如果主服务器可以将主机名解析为发出请求的IP地址,则在没有授权令牌的情况下颁发证书。
|
常见错误:
错误:
“警告:没有应答文件,没有有效的bp.conf。
因此,安全配置不完整。
在进行备份和还原之前,需要手动执行步骤。有关
详细信息,请访问:https: //www.veritas.com/support/en_US/article.000127129。“
解决方案:
此错误消息表明在安装过程中未生成bp.conf文件。要生成bp.conf文件,请执行:
错误:
在需要令牌时尝试获取主机ID证书将导致以下错误:
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -getCertificate -host myhost -server mymaster
UNIX:<install_path> / netbackup / bin / nbcertcmd -getCertificate -host myhost -server mymaster
输出将类似于以下内容:
Solution: Use the -token argument with nbcertcmd command to prompt for a token. A token is 16 uppercase characters. The token will not be echoed to the terminal when you type it.
Windows: <install_path>\netbackup\bin\nbcertcmd -getCertificate -host myhost -server mymaster -tokenUNIX: <install_path>/netbackup/bin/nbcertcmd -getCertificate -host myhost -server mymaster -token
The output will be similar to the following:
Authorization Token: [Type or paste in the upper case, 16 character token ] Host certificate and certificate revocation list received successfully from server mymaster.
此外,管理员可以为非交互式安装指定nbcertcmd命令的-envtoken <envtoken>参数。该envtoken是包含令牌的环境变量。
示例Windows:
在命令提示符下设置临时环境设置:
set myenvtoken = ABCDEFGHIJKLMNOP使用指定的envtoken
执行nbcertcmd:<install_path> \ netbackup \ bin \ nbcertcmd -getCertificate -host myhost -server mymaster -envtoken myenvtoken结果输出:主机证书和从服务器mymaster成功收到证书撤销列表。完成上述操作后,运行:set myenvtoken = 或者,退出命令提示符,该命令提示符将自动删除该变量。
示例Unix:
要设置环境变量,请从命令提示符执行以下命令:
myenvtoken =“ABCDEFGHIJKLMNOP”
export myenvtoken
<install_path> / netbackup / bin / nbcertcmd -getCertificate -host myhost -server mymaster -envtoken myenvtoken
结果输出:
Host certificate and certificate revocation list received successfully from server mymaster.
Once the above is complete, run: unset myenvtoken
错误:
尝试获取主服务器不知道的介质服务器或客户端的主机ID证书,将显示以下错误:
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -getCertificate
Unix:<install_path> / netbackup / bin / nbcertcmd -getCertificate
输出将类似于以下内容:
nbcertcmd:服务器myclient的-getCertificate操作失败。
退出状态5955:主服务器不知道主机名。
解决方案:
根据当前配置的安全级别,根据本文前面的安全级别表中描述的方法之一,使主服务器知道客户端。使主服务器知道客户端后,将成功获取主机ID证书。或者,用户可以指定授权令牌。
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -getCertificate -hos t myhost -se rver mymaster
Unix:<install_path> / netbackup / bin / nbcertcmd -getCertificate -hos t myhost -se rver mymaster
输出将类似于以下内容:
从服务器mymaster成功收到主机证书和证书吊销列表。
因素:NetBackup主服务器是否已为此客户端/介质服务器颁发了主机ID证书?
尝试获取应具有主机ID证书的主机的主机ID证书将导致错误。此错误的最常见原因是尝试重新安装介质服务器或客户端,或在部署主机证书后中断安装。该hostselfcheck选项可用于确定您的当前状态。
主机ID证书存在:
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -hostselfcheck -server mymaster
Unix:<install_path> / netbackup / bin / nbcertcmd -hostselfcheck -server mymaster
结果输出:
证书未被撤销。
主机ID证书不存在:
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -hostselfcheck -server mymaster
Unix:<install_path> / netbackup / bin / nbcertcmd -hostselfcheck -server mymaster
结果输出:
无法读取server = mymaster的CRL,错误= 12.
无法读取证书。
退出状态5949:证书不存在。
如果主机ID证书不存在,请使用getCertificate选项检索主机ID证书。
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -getCertificate -host myhost -server mymaster
Unix:<install_path> / netbackup / bin / nbcertcmd -getCertificate -host myhost -server mymaster
结果输出:
nbcertcmd:服务器mymaster的-getCertificate操作失败。
退出状态5940:重发令牌是强制性的,请提供重发令牌。
在这种情况下,必须生成称为重发令牌的特殊类型的授权令牌。 有关如何生成重发令牌的详细信息,请参考“ Veritas NetBackup安全和加密指南”。此操作在主服务器上执行。
的重发标记被传递给nbcertcmd中相同的方式作为一个授权令牌。甲补发令牌是16个大写字符。键入时,重发令牌不会回显到终端。
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -getCertificate -host myhost -server mymaster -token
Unix:<install_path> / netbackup / bin / nbcertcmd -getCertificate -host myhost -server mymaster -token
结果输出:
授权令牌:[键入或粘贴大写,16个字符标记]
从服务器mymaster成功接收的主机证书和证书吊销列表。
此外,管理员可以为非交互式安装指定nbcertcmd命令的-envtoken <envtoken>参数。该envtoken是包含令牌的环境变量。
Example Windows:
At the command prompt set the temporary environmental setting:
set myenvtoken=ABCDEFGHIJKLMNOP
Executed nbcertcmd with the envtoken specified:
<install_path>\netbackup\bin\nbcertcmd -getCertificate -host myhost -server mymaster -envtoken myenvtoken
Resulting output:
Host certificate and certificate revocation list received successfully from server mymaster.
Once the above is complete, run: set myenvtoken=
Alternately, exit the command prompt which will automatically delete the variable.
示例Unix:
要设置环境变量,请从命令提示符执行以下命令:
myenvtoken =“ABCDEFGHIJKLMNOP”
export myenvtoken
<install_path> / netbackup / bin / nbcertcmd -getCertificate -host myhost -server mymaster -envtoken myenvtoken
结果输出:
Host certificate and certificate revocation list received successfully from server mymaster.
Once the above is complete, run: unset myenvtoken
因素:如果主机ID证书请求是针对客户端的,那么是否存在与NetBackup主服务器的网络连接?
某些NetBackup客户端可能没有与主服务器的直接网络连接。要确定客户端是否具有直接访问权限,请使用nbcertcmd -ping命令。有几个错误代码可能表明不存在直接连接。
Windows:<install_path> \ netbackup \ bin \ nbcertcmd -ping
Unix:<install_path> / netbackup / bin / nbcertcmd -ping
结果输出:
nbcertcmd:-ping操作失败。
退出状态8500:未建立与Web服务的连接。
如果没有直接访问权限,您可以指定一个或多个介质服务器作为nbcertcmd的选项。这些媒体服务器作为一个代理为nbcertcmd电话。媒体服务器上无需配置即可支持此功能。唯一的要求是:
- 客户端可以直接访问媒体服务器
- 介质服务器和主服务器位于同一NetBackup域中
- 介质服务器正在运行NetBackup 8.1
要配置主机ID证书,请为nbcertcmd命令提供--mediaServList参数。
Windows: <install_path>\netbackup\bin\nbcertcmd -getCertificate -host myhost -server mymaster -mediaServList mymediaserverUnix: <install_path>/netbackup/bin/nbcertcmd -getCertificate -host myhost -server mymaster -mediaServList mymediaserver
If successful, the following will be displayed:
Host certificate and certificate revocation list received successfully from server mymaster.
如果使用Windows上的注册表中的MEDIA_SERVERS项或UNIX / Linux上的bp.conf文件指定介质服务器,则不需要其他参数。
转载于:https://www.cnblogs.com/yihr/p/11041042.html
netbackup如何手动获取主机ID证书。相关推荐
- Netbackup8.0以上版本,服务端生成证书,客户端获取、更新证书方式(整理中)
创建重发令牌 如果非主控主机已在主服务器上注册但其基于主机ID的证书不再有效,则可以重新颁发基于主机ID的证书.例如,证书在过期,被撤销或丢失时无效. 重发令牌是一种可用于重新颁发证书的令牌.它是一种 ...
- 让自己的主机成为证书颁发机构
让自己的主机成为证书颁发机构 在互联网的世界里证书就是我们在这个网络世界的"×××",通过这个"×××"我们来证明自己的真实性,判断对方的真 实 ...
- 【Android 安装包优化】移除无用资源 ( 自动移除无用资源 | 直接引用资源 | 动态获取资源 id | Lint 检查资源 )
文章目录 一.自动移除无用资源 ( 不推荐使用 ) 二.直接引用资源与动态获取资源 1.直接引用资源 2.动态获取资源 id 三.Lint 检查资源 四.参考资料 一.自动移除无用资源 ( 不推荐使用 ...
- Android 获取设备ID,手机厂商,运营商,联网方式,获取系统语言,获取时区
权限 <uses-permission android:name="android.permission.READ_PHONE_STATE" /> 安卓6.0需动态获取 ...
- Java面典_【Java实用工具】——使用oshi获取主机信息
最近在筹划做一个监控系统.其中就要获取主机信息,其中遇到一些问题.在此做个记录,以便以后查阅. 在该监控系统中,想要做到主机的CPU.内存.磁盘.网络.线程.JVM内存.JVM GC 等维度的监控,J ...
- 使用WMI编程获取主机硬件信息(CPU_ID,硬盘、主板、BIOS序列号,Mac地址)
最近在公司实习,有个应用需要获取windows主机的一些硬件信息,在网上查阅了一些资料,大部分都是使用WMI编程来实现的. 因此小菜鸟自己也用WMI实现了一下,封装为函数GetUserInfo(),具 ...
- 通过Docker进程pid获取容器id
虽然Docker是通过namespace隔离技术实现容器间进程的隔离,但在运行Docker的主机中,Docker容器内的进程与主机内运行的进程是在同一个namespace(假设叫A)的.虽然在Dock ...
- 根据 MOB/vSphere APIs 获取 ESXi 服务器证书
1. 检索 certificate 属性 使用 MOB(托管对象浏览器)检索证书信息,在浏览器地址栏输入下面的地址(其搜索路径为 ServiceInstance-> content -> ...
- 7.1 Ansible 动态获取主机清单
场景 在实际工作环境中,较大的企业通常有内部的CMDB管理系统,每个部门基本也都有开发自己的运管系统之类,比如最基础的本部门有哪些机器,它们都是什么配置,基本都是通过运管系统管理.这套内部系统可能已经 ...
最新文章
- 基于sqlcmd命令行工具管理SQL server
- Tomcat - Tomcat的套娃式架构设计初探
- Structural Deep Clustering Network 基于GNN的深度聚类算法 WWW2020
- mongoose 批量修改字段_常用SQL系列之(五):多表和禁止插入、批量与特殊更新等...
- 自学dapp开发资料
- 数组操作 from《FORTRAN95 程序设计》
- 计算机系统基础袁春风试题,计算机系统基础习题解答与教学指导
- jenkins 下载插件失败 有效的处理办法(亲测)
- win32_mfc 理论资料 供自己查阅
- chrome-功能指令
- python使用pypandoc将html转换成word文档
- jieba分词原理 ‖ 关键词抽取
- Mybatis入门(复习)
- android ocr 身份证识别
- 贵有恒,何必三更起五更眠;最无益,只怕一日曝十日寒
- CREO图文教程:三维设计案例之矿泉水瓶实例图文教程之详细攻略
- 桂 林 理 工 大 学实 验 报 告实验四 选择结构程序设计
- 电容电压不能突变和电感电流不能突变仿真分析
- linux怎么清理系统盘垃圾,清理服务器系统盘垃圾,解决系统盘很快就满的问题...
- 【学习笔记】数学小厦
热门文章
- 开源自助建站系统源码完整源码+搭建教程 傻瓜式一键建站系统源码
- 【Jetson Nano】使用python3模拟向阿里云发送数据
- ISA8051内部结构讲解
- (151)设计一个同或门之Xnorgate
- poi导出excel写入公式_【java poi 写入Excel后读取公式值问题】poi导入excel
- SpringBoot集成redis的LBS功能
- InAction-根据LBS数据手机用户移动轨迹
- LBS的球面距离计算及Geohash方案探讨(LBS之一)
- 微信小程序应用安全分析及设计
- 【教程】如果公司的网络屏蔽了游戏【英雄联盟】的链接请求,使用这种方法玩游戏。...