NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- NetBackup 8.1 或更高版本主服务器之间的通信
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- RBAC 功能
- RBAC 设置
- 禁用操作系统 (OS) 管理员的 Web UI 访问权限
- 禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
- 配置 RBAC
- 添加 AD 或 LDAP 域
- 默认 RBAC 角色
- 管理员
- 默认云管理员
- 默认 NetBackup 命令行 (CLI) 管理员
- 默认 Kubernetes 管理员
- 默认 NetBackup Kubernetes Operator 服务
- 默认 Oracle 管理员
- 默认 Microsoft SQL Server 管理员
- 默认 Resiliency 管理员
- 默认 RHV 管理员
- 默认 SaaS 管理员
- 默认 AHV 管理员
- 默认安全管理员
- 默认存储管理员
- 默认通用共享管理员
- 默认 VMware 管理员
- 添加自定义 RBAC 角色
- 编辑或删除自定义角色
- 查看 RBAC 中的用户
- 将用户添加到角色(非 SAML)
- 将智能卡用户添加到角色(非 SAML,无 AD/LDAP)
- 将用户添加到角色 (SAML)
- 从角色中删除用户
- 智能卡或数字证书
- 单点登录 (SSO)
- 增强的审核
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- NetBackup 中数据的不可变性和不可删除性
- 备份异常检测
- 恶意软件检测
关于 NetBackup 中的外部 CA 支持
现在,您可以使用可信证书颁发机构 (CA) 颁发的 X.509 证书。
NetBackup 支持基于文件的证书和 Windows 证书存储库作为 NetBackup 主机外部证书的来源。它支持 PEM、DER 和 P7B 格式的证书。
注意:
NetBackup 不支持 Windows 证书存储库作为 NetBackup Web 服务器证书的来源。
NetBackup 中使用了以下特定于安全证书的术语:
NetBackup CA 以外的证书颁发机构 (CA) 称为外部 CA。
NetBackup CA 以外的 CA 颁发的证书称为外部 CA 签名证书或外部证书。
NetBackup CA 颁发的证书称为 NetBackup CA 签名证书或 NetBackup 证书。
用于通过控制通道进行安全通信的 NetBackup 证书也称为基于主机 ID 的证书。
在安装 NetBackup 期间,会在主服务器上部署基于主机 ID 的证书。安装后,您需要在主服务器上手动配置外部证书。
安装期间或安装后,可在 NetBackup 主机(介质服务器或客户端)上配置外部证书。
所有 NetBackup 8.1 及更高版本的主机上都需要基于主机 ID 的证书,才能启用相互进行身份验证的安全通信。从 8.2 开始,NetBackup CA 签名的基于主机 ID 的证书可以替换为外部 CA 签名证书。
除了基于主机 ID 的证书之外,在已启用 NetBackup Access Control (NBAC) 或增强审核的域中的某些主机上,可能需要部署基于主机名的证书。基于主机名的证书由 NetBackup CA 颁发。
在 Windows 平台上,如果使用外部证书进行主机通信,则 NT AUTHORITY\SYSTEM 用户必须能够访问位于 ECA_CERT_PATH 的证书。Windows 注册表中具有 ECA_CERT_PATH 配置选项。
在 Windows 平台上,以下外部 CA 参数不支持通用命名约定 (UNC) 路径(或网络路径):证书链、证书私钥、信任存储区、证书私钥的密码文件以及 CRL 缓存。
以下要求适用于 NetBackup Web 服务器证书:
如果使用者备用名称 (SAN) 不为空,则证书的 SAN 字段应包含可用于识别主服务器的所有主机名(域中其他主机的 SERVER 配置选项条目中列出的主机名)。
证书的使用者名称要求:
使用者名称不应为空。
使用者名称的公用名称不应为空。
使用者名称对于每个主机应唯一。
使用者名称不应超过 255 个字符。
证书使用者和使用者备用名称 (SAN) 仅支持 ASCII 7 字符。
密钥用途对应的要求:
如果证书有 X509v3 密钥用法扩展,则必须包括以下密钥用途:
对于 Web 服务器证书:应至少存在一个数字签名或密钥加密。
对于 NetBackup 主机证书:应存在数字签名用途。密钥加密可能存在,也可能不存在。
对于 Web 服务器和 NetBackup 主机均可使用的证书:应存在数字签名用途。密钥加密可能存在,也可能不存在。
除了此处指定的用途以外,证书可能还有其他列出的密钥用途。这些附加用途可以忽略。
X509v3 密钥用法扩展可能很重要,也可能不重要。
没有 X509v3 密钥用法扩展的证书也可与 NetBackup 一起使用。
如果证书有 X509v3 扩展密钥用法扩展,则必须包括以下密钥用途:
对于 Web 服务器证书:TLS Web 服务器身份验证。
对于 NetBackup 主机证书:TLS Web 服务器身份验证和 TLS Web 客户端身份验证。
对于 Web 服务器和 NetBackup 主机均可使用的证书:TLS Web 服务器身份验证和 TLS Web 客户端身份验证。
除了此处指定的用途以外,证书可能还有其他列出的密钥用途。这些附加用途可以忽略。
X509v3 扩展密钥用法扩展可能很重要,也可能不重要。
没有 X509v3 扩展密钥用法扩展的证书也可与 NetBackup 一起使用。
如果证书不符合这些要求,请与您的证书提供商联系,以获取新证书。