創建重發令牌
如果非主控主機已在主服務器上注冊但其基於主機ID的證書不再有效,則可以重新頒發基於主機ID的證書。例如,證書在過期,被撤銷或丟失時無效。
重發令牌是一種可用於重新頒發證書的令牌。它是一種特殊類型的令牌,因為它保留與原始證書相同的主機ID。由於重發令牌綁定到特定主機,因此該令牌不能用於為其他主機請求證書。
使用NetBackup管理控制台創建重新簽發令牌
- 在NetBackup管理控制台中,展開“安全管理”>“證書管理”。
- 在右側窗格中,選擇需要重發令牌的主機。
- 從“操作”菜單中,選擇“ 生成重新發行標記”。
- 在“創建重新發行標記”對話框中,輸入標記的名稱。
- 從“ 有效期限” 選項中選擇令牌有效期的日期 。
注意:
- 在“ 原因” 字段中,輸入重發令牌的原因。原因在日志中顯示為審核事件。
- 點擊 創建。
- 重發令牌出現在對話框中。選擇“ 復制” 將令牌值保存到剪貼板。
- 將令牌值傳遞給非主控主機的管理員。如何傳達令牌取決於環境中的各種安全因素。令牌可以通過電子郵件,文件或口頭傳輸。
非主控主機的管理員部署令牌以獲取另一個基於主機ID的證書。有關說明,請參閱以下主題:
請參閱 部署基於主機ID的證書。
使用nbcertcmd命令創建重新簽發令牌
- 主服務器管理員必須登錄NetBackup Web管理服務才能執行此任務。使用以下命令登錄:
bpnbat -login -logintype WEB
- 在主服務器上運行以下命令之一:
使用需要重新頒發證書的主機名:
nbcertcmd -createToken -name token_name -reissue -host host_name
注意:
您必須提供要重新頒發證書的主機的主要名稱。如果提供為主機添加的任何主機ID到主機名映射,則無法重新頒發證書。
使用需要重新頒發證書的主機ID:
nbcertcmd -createToken -name TOKEN_NAME -reissue -hostId HOST_ID
附加參數可用於指示有效期和創建原因。
為重命名的NetBackup主機請求證書的其他步驟
除了重新發出令牌之外,還需要執行以下步驟來為重命名的NetBackup主機請求證書。
在主機名更改后為主機請求證書
- 主服務器的NetBackup管理員為重命名的NetBackup主機生成重發令牌。
- 使用NetBackup管理控制台將新主機名添加為批准的主機ID到主機名之一映射。
請參閱 將主機ID添加到主機名映射。
或者,您可以使用 nbhostmgmt -add 命令行界面選項。
有關nbhostmgmt 命令的詳細信息 ,請參見“ NetBackup命令參考指南 ”中的“ nbhostmgmt ”部分 。
- NetBackup管理員必須撤消重命名的主機的基於主機ID的證書。
請參閱 撤消基於主機ID的證書。
注意:
證書被撤銷后,主機無法與NetBackup Web管理控制台服務(nbwmc)通信。當主機使用重發令牌獲取新證書時,主機可以 再次與nbwmc通信 。
- 撤消證書后,非主控主機的管理員必須使用重發令牌獲取重命名主機的證書。
請參閱 部署基於主機ID的證書。
客戶端證書過期更新
關於基於主機ID的證書過期和續訂
基於NetBackup主機ID的證書在其發布日期后一年到期。它們會在到期日期前180天自動續訂。定期發送證書續訂請求,直到證書成功續訂。自動續訂可確保續訂過程對用戶透明。
續訂請求始終使用現有證書進行身份驗證。因此,無論證書部署安全級別如何,續訂過程都不需要使用授權令牌。
如果現有證書尚未過期,則主機管理員可以啟動手動續訂請求,如以下過程中所述。
手動續訂基於主機ID的證書
在證書已過期的情況下,主機管理員必須手動重新頒發證書。
請參閱關於重新發布基於主機ID的證書。
強制或覆蓋證書部署
在某些情況下,可能需要將-force選項與nbcertcmd -getCertificate命令一起使用。例如,強制將證書部署到主機或覆蓋現有的基於主機ID的證書信息並獲取新證書。
主機可能已經擁有基於主機ID的證書,但需要使用新證書覆蓋舊證書。例如,當使用新服務器替換主服務器時,這是必需的。由於客戶端具有舊服務器的舊證書,因此在客戶端上運行nbcertcmd -getCertificate命令時,它將失敗並顯示以下錯誤:
服務器已存在證書。
使用以下過程覆蓋現有的基於主機ID的證書信息並獲取新證書。
在主機上強制部署證書
- 主機管理員在非主控主機上運行以下命令:
nbcertcmd -getCertificate -server master_server_name -force
-
根據主服務器上的安全設置,可能還需要指定令牌。
請參閱創建授權令牌。
-
使用-cluster選項部署群集證書。
-
主機可能已頒發證書,但隨着時間的推移,證書已損壞或證書文件已被刪除。
非主控主機的管理員可以運行以下命令來確認證書的狀況:
nbcertcmd -listCertDetails
-
如果證書已損壞,則該命令將失敗並顯示以下錯誤:
無法從本地證書存儲區讀取證書。
-
如果未顯示證書詳細信息,則證書不可用。
使用以下過程覆蓋現有的基於主機ID的證書信息並獲取新證書。
獲取新的基於主機ID的證書
- 主機管理員在非主控主機上運行以下命令:
nbcertcmd -getCertificate -force
-
根據主服務器上的安全設置,可能還需要指定令牌。
請參閱創建授權令牌。
-
使用-cluster選項部署群集證書。
客戶端報錯7654
In the case the client CRL is corrupt, the bpcd log on the client will show a status 7654:13:50:23.731 [12560] <16> dump_proxy_info: statusmsg: The revocation status of the peer host certificate cannot be verified using the Certificate Revocation List (CRL), because no CRL is present from the certificate issuer's domain., nbu status = 7654, severity = 2
To check the state of the client or media server, execute nbcertcmd -hostselfcheck . If the CRL is corrupt, it will exit with an error 9301:nbcertcmd -hostselfcheck
Unable to read CRL for server = nbmaster2, error = 9301.
EXIT STATUS 9301: Failed to decode certificate revocation list.Solution
To resolve this issue, complete the following on the host (client or media server) reporting the error:
Fetch an updated CRL from the master server:nbcertcmd -getCRLIf successful it will return the following:Once an updated CRL has been fetched, nbcertcmd -hostselfcheck will be successful:nbcertcmd -getCRL
Successfully retrieved certificate revocation list for master server [nbmaster2]
nbcertcmd -hostselfcheck
The certificate is not revoked. -