Netbackup8.0以上版本，服务端生成证书，客户端获取、更新证书方式(整理中)

时间 2019-12-13

标签 netbackup8.0 netbackup 以上版本服务生成证书客户端获取更新方式整理繁體版

原文原文链接

建立重发令牌

若是非主控主机已在主服务器上注册但其基于主机ID的证书再也不有效，则能够从新颁发基于主机ID的证书。例如，证书在过时，被撤销或丢失时无效。安全

重发令牌是一种可用于从新颁发证书的令牌。它是一种特殊类型的令牌，由于它保留与原始证书相同的主机ID。因为重发令牌绑定到特定主机，所以该令牌不能用于为其余主机请求证书。服务器

使用NetBackup管理控制台建立从新签发令牌spa

在NetBackup管理控制台中，展开“安全管理”>“证书管理”。
在右侧窗格中，选择须要重发令牌的主机。
从“操做”菜单中，选择“ 生成从新发行标记”。
在“建立从新发行标记”对话框中，输入标记的名称。
从“ 有效期限” 选项中选择令牌有效期的日期。
注意：命令行

建立新令牌时，“可用最大使用率”设置不可用。必须为特定主机使用重发令牌一次。日志
在“ 缘由” 字段中，输入重发令牌的缘由。缘由在日志中显示为审核事件。
点击建立。
重发令牌出如今对话框中。选择“ 复制” 将令牌值保存到剪贴板。
将令牌值传递给非主控主机的管理员。如何传达令牌取决于环境中的各类安全因素。令牌能够经过电子邮件，文件或口头传输。
非主控主机的管理员部署令牌以获取另外一个基于主机ID的证书。有关说明，请参阅如下主题：server

请参阅部署基于主机ID的证书。blog

使用nbcertcmd命令建立从新签发令牌token

主服务器管理员必须登陆NetBackup Web管理服务才能执行此任务。使用如下命令登陆：
bpnbat -login -logintype WEB事件

请参阅 nbcertcmd命令选项的Web登陆要求。部署
在主服务器上运行如下命令之一：
使用须要从新颁发证书的主机名：

nbcertcmd -createToken -name token_name -reissue -host host_name

注意：

您必须提供要从新颁发证书的主机的主要名称。若是提供为主机添加的任何主机ID到主机名映射，则没法从新颁发证书。

使用须要从新颁发证书的主机ID：

nbcertcmd -createToken -name TOKEN_NAME -reissue -hostId HOST_ID

附加参数可用于指示有效期和建立缘由。

为重命名的NetBackup主机请求证书的其余步骤

除了从新发出令牌以外，还须要执行如下步骤来为重命名的NetBackup主机请求证书。

在主机名更改后为主机请求证书

客户端证书过时更新

基于NetBackup主机ID的证书在其发布日期后一年到期。它们会在到期日期前180天自动续订。按期发送证书续订请求，直到证书成功续订。自动续订可确保续订过程对用户透明。

续订请求始终使用现有证书进行身份验证。所以，不管证书部署安全级别如何，续订过程都不须要使用受权令牌。

若是现有证书还没有过时，则主机管理员能够启动手动续订请求，如如下过程当中所述。

手动续订基于主机ID的证书

主机管理员在非主控主机上运行如下命令：
nbcertcmd -renewCertificate
- 能够经过指定-server选项手动续订与主域之外的NetBackup域对应的证书。
- 使用-cluster选项更新NetBackup群集服务器的群集证书。

在证书已过时的状况下，主机管理员必须手动从新颁发证书。

在某些状况下，可能须要将-force选项与nbcertcmd -getCertificate命令一块儿使用。例如，强制将证书部署到主机或覆盖现有的基于主机ID的证书信息并获取新证书。

强制部署证书

主机可能已经拥有基于主机ID的证书，但须要使用新证书覆盖旧证书。例如，当使用新服务器替换主服务器时，这是必需的。因为客户端具备旧服务器的旧证书，所以在客户端上运行nbcertcmd -getCertificate命令时，它将失败并显示如下错误：

服务器已存在证书。

使用如下过程覆盖现有的基于主机ID的证书信息并获取新证书。

在主机上强制部署证书

覆盖现有的基于主机ID的证书信息并获取新证书

主机可能已颁发证书，但随着时间的推移，证书已损坏或证书文件已被删除。

非主控主机的管理员能够运行如下命令来确认证书的情况：

nbcertcmd -listCertDetails

使用如下过程覆盖现有的基于主机ID的证书信息并获取新证书。

获取新的基于主机ID的证书