NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 通信失败情形
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- 智能卡或数字证书
- 单点登录 (SSO)
- 增强的审核
- NetBackup Access Control (NBAC) 安全
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 故障排除访问管理
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 建立与主服务器(证书颁发机构)的信任关系
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 为 NetBackup Web 服务器配置外部证书
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- NetBackup 中数据的不可变性和不可删除性
- 备份异常检测
- 恶意软件检测
在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
NetBackup 主机(介质服务器或客户端)配置为在安装或升级期间使用外部证书。您可以选择在安装后进行配置。
请按照本节内容配置主机以使用外部证书。
您可以按照本节内容为群集节点配置外部证书。
请参见关于群集主服务器的外部证书配置。
配置步骤包括:
定义外部证书配置选项
确保已启用自动注册 - ECA_DISABLE_AUTO_ENROLLMENT 设置为 TRUE - 或手动为主机注册外部证书
请参见为远程主机注册外部证书。
注册的证书将用于主机和主机上 SERVER 配置选项中列出的主服务器域之间的通信。
注册的证书将用于主机通信。
请参见在 NetBackup Web UI 中查看外部 CA 签名证书。
通过配置 NetBackup Web 服务器,确保 NetBackup 域可使用外部 CA 签名证书。
在为其他主机注册外部证书之前,建议先为主服务器主机注册外部证书。
确保外部 CA 的证书吊销列表 (CRL) 存储在所需位置。
如果使用 CRL 分发点 (CDP),请确保在 CDP 中指定的 URL 可访问。
请参见关于外部 CA 的证书吊销列表。
配置主机(介质服务器或客户端)以使用外部证书
- 在主机上的配置文件(
bp.conf
文件或 Windows 注册表)中更新所需的外部证书特定参数:对于 Windows 证书存储库
使用 nbsetconfig 命令配置以下参数:
ECA_CERT_PATH
ECA_CRL_CHECK(可选)
ECA_CRL_PATH(可选)
ECA_CRL_PATH_SYNC_HOURS(可选)
ECA_CRL_REFRESH_HOURS(可选)
ECA_DR_BKUP_WIN_CERT_STORE(可选)
对于基于文件的证书
使用 nbsetconfig 命令配置以下参数:
ECA_CERT_PATH
ECA_PRIVATE_KEY_PATH
ECA_TRUST_STORE_PATH
ECA_KEY_PASSPHRASEFILE(可选)
ECA_CRL_CHECK_LEVEL(可选)
ECA_CRL_PATH(可选)
ECA_CRL_PATH_SYNC_HOURS(可选)
ECA_CRL_REFRESH_HOURS(可选)
注意:
如果有 Flex Appliance 应用程序实例,证书文件必须存储在实例上的以下目录:
ECA_CERT_PATH、ECA_PRIVATE_KEY PATH 和 ECA_TRUST_STORE_PATH:
/mnt/nbdata/hostcert/
ECA_CRL_PATH:
/mnt/nbdata/hostcert/crl
- 确保使用 nbgetconfig 命令将 ECA_DISABLE_AUTO_ENROLLMENT 选项设置为 TRUE。此操作可确保启用自动注册。
如果该选项处于禁用状态,并且您希望手动注册证书,请在主机上运行以下命令,以便在主机上的 SERVER 配置选项中定义的主服务器域中注册外部证书:
nbcertcmd -enrollCertificate
请参见关于查看主服务器的注册状态。
有关该命令的更多详细信息,请参考《NetBackup 命令参考指南》。