Netbackup8.0以上版本，服務端生成證書，客戶端獲取、更新證書方式(整理中)

建立重發令牌

若是非主控主機已在主服務器上註冊但其基於主機ID的證書再也不有效，則能夠從新頒發基於主機ID的證書。例如，證書在過時，被撤銷或丟失時無效。

重發令牌是一種可用於從新頒發證書的令牌。它是一種特殊類型的令牌，由於它保留與原始證書相同的主機ID。因爲重發令牌綁定到特定主機，所以該令牌不能用於爲其餘主機請求證書。

使用NetBackup管理控制檯建立從新簽發令牌

1. 在NetBackup管理控制檯中，展開「安全管理」>「證書管理」。
2. 在右側窗格中，選擇須要重發令牌的主機。
3. 從「操做」菜單中，選擇「  生成從新發行標記」。
4. 在「建立從新發行標記」對話框中，輸入標記的名稱。
5. 從「 有效期限」  選項中選擇令牌有效期的日期  。

   注意：

   建立新令牌時，「可用最大使用率」設置不可用。必須爲特定主機使用重發令牌一次。

6. 在「  緣由」  字段中，輸入重發令牌的緣由。緣由在日誌中顯示爲審覈事件。
7. 點擊  建立。
8. 重發令牌出如今對話框中。選擇「  複製」  將令牌值保存到剪貼板。
9. 將令牌值傳遞給非主控主機的管理員。如何傳達令牌取決於環境中的各類安全因素。令牌能夠經過電子郵件，文件或口頭傳輸。

   非主控主機的管理員部署令牌以獲取另外一個基於主機ID的證書。有關說明，請參閱如下主題：

   請參閱  部署基於主機ID的證書。

 

使用nbcertcmd命令建立從新簽發令牌

1. 主服務器管理員必須登陸NetBackup Web管理服務才能執行此任務。使用如下命令登陸：

   bpnbat -login -logintype WEB

   請參閱  nbcertcmd命令選項的Web登陸要求。

2. 在主服務器上運行如下命令之一：

   使用須要從新頒發證書的主機名：

   nbcertcmd -createToken -name  token_name  -reissue -host  host_name

   注意：

   您必須提供要從新頒發證書的主機的主要名稱。若是提供爲主機添加的任何主機ID到主機名映射，則沒法從新頒發證書。

   使用須要從新頒發證書的主機ID：

   nbcertcmd -createToken -name  TOKEN_NAME  -reissue -hostId  HOST_ID

   附加參數可用於指示有效期和建立緣由。

爲重命名的NetBackup主機請求證書的其餘步驟

除了從新發出令牌以外，還須要執行如下步驟來爲重命名的NetBackup主機請求證書。

在主機名更改後爲主機請求證書

1. 主服務器的NetBackup管理員爲重命名的NetBackup主機生成重發令牌。
2. 使用NetBackup管理控制檯將新主機名添加爲批准的主機ID到主機名之一映射。

   請參閱  將主機ID添加到主機名映射。

   或者，您可使用  nbhostmgmt -add  命令行界面選項。

   有關nbhostmgmt  命令的詳細信息  ，請參見「 NetBackup命令參考指南 」中的「 nbhostmgmt 」部分  。

3. NetBackup管理員必須撤消重命名的主機的基於主機ID的證書。

   請參閱  撤消基於主機ID的證書。

   注意：

   證書被撤銷後，主機沒法與NetBackup Web管理控制檯服務（nbwmc）通訊。當主機使用重發令牌獲取新證書時，主機能夠 再次與nbwmc通訊  。

4. 撤消證書後，非主控主機的管理員必須使用重發令牌獲取重命名主機的證書。

   請參閱  部署基於主機ID的證書。

 

客戶端證書過時更新

 

關於基於主機ID的證書過時和續訂

基於NetBackup主機ID的證書在其發佈日期後一年到期。它們會在到期日期前180天自動續訂。按期發送證書續訂請求，直到證書成功續訂。自動續訂可確保續訂過程對用戶透明。

續訂請求始終使用現有證書進行身份驗證。所以，不管證書部署安全級別如何，續訂過程都不須要使用受權令牌。

若是現有證書還沒有過時，則主機管理員能夠啓動手動續訂請求，如如下過程當中所述。

手動續訂基於主機ID的證書

• 主機管理員在非主控主機上運行如下命令：

  nbcertcmd -renewCertificate

  • 能夠經過指定-server選項手動續訂與主域之外的NetBackup域對應的證書。

  • 使用-cluster選項更新NetBackup羣集服務器的羣集證書。

在證書已過時的狀況下，主機管理員必須手動從新頒發證書。

請參閱關於從新發布基於主機ID的證書。

強制或覆蓋證書部署

在某些狀況下，可能須要將-force選項與nbcertcmd -getCertificate命令一塊兒使用。例如，強制將證書部署到主機或覆蓋現有的基於主機ID的證書信息並獲取新證書。

強制部署證書

主機可能已經擁有基於主機ID的證書，但須要使用新證書覆蓋舊證書。例如，當使用新服務器替換主服務器時，這是必需的。因爲客戶端具備舊服務器的舊證書，所以在客戶端上運行nbcertcmd -getCertificate命令時，它將失敗並顯示如下錯誤：

服務器已存在證書。

使用如下過程覆蓋現有的基於主機ID的證書信息並獲取新證書。

在主機上強制部署證書

• 主機管理員在非主控主機上運行如下命令：

  nbcertcmd -getCertificate -server master_server_name -force

  • 根據主服務器上的安全設置，可能還須要指定令牌。

    請參閱建立受權令牌。

  • 使用-cluster選項部署羣集證書。

覆蓋現有的基於主機ID的證書信息並獲取新證書

主機可能已頒發證書，但隨着時間的推移，證書已損壞或證書文件已被刪除。

非主控主機的管理員能夠運行如下命令來確認證書的情況：

nbcertcmd -listCertDetails

• 若是證書已損壞，則該命令將失敗並顯示如下錯誤：

  沒法從本地證書存儲區讀取證書。

• 若是未顯示證書詳細信息，則證書不可用。

使用如下過程覆蓋現有的基於主機ID的證書信息並獲取新證書。

獲取新的基於主機ID的證書

• 主機管理員在非主控主機上運行如下命令：

  nbcertcmd -getCertificate -force

  • 根據主服務器上的安全設置，可能還須要指定令牌。

    請參閱建立受權令牌。

  • 使用-cluster選項部署羣集證書。