Sécurité de PowerProtect Data Manager : création d’une CSR pour obtenir un certificat personnalisé signé par une autorité de certification

Résumé: Dix étapes à suivre pour créer une demande de signature de certificat pour un certificat signé par une autorité de certification pour PowerProtect Interface utilisateur de Data Manager. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

  1. Connectez-vous à PowerProtect Data Manager à l’aide de SSH.

  2. Définissez le répertoire sur $HOME comme dans :

    cd  /home/admin

  3. Créez un dossier pour les informations du nouveau certificat :

    mkdir /home/admin/certinfo
cd /home/admin/certinfo

  4. Créez un nouveau magasin de clés personnalisé « ppdm.p12 » et générez une paire de clés RSA 2048.
    La paire de clés se compose de clés publiques et privées pour le fichier de demande généré. (Cette étape est obligatoire pour créer une CSR pour les certificats personnalisés signés par une autorité de certification. Si vous utilisez un magasin de clés existant, modifiez le nom -keystore de manière appropriée. Le nom du magasin de clés est arbitraire.

    Remarques :

    1. Les valeurs saisies pour « alias », « dname », « keystore », « startdate » (en option) et « validity » (en option) sont fournies à titre d’exemple et peuvent varier selon le site. Ne modifiez aucun autre paramètre dans la commande keytool .

      Alias - the name of the record in the keystore that contains this data.
dname - this info is displayed when viewing the certificate from a
browser.
CN - this value must use the FQDN for the PowerProtect Data Manager server
CN=ppdm.customer.com,
The values for OU(Organizational Unit), O(Organization), L(Location),
S(State) and C(Country) are arbitrary and have no bearing on the certificate
functionality.
OU=Department Name,O=Company Name,L=Austin,S=TexasC=US
startdate - This is the date when the certificate becomes valid.
validity - This is the number of days after the startdate when the 
certificate will expire.

    2. L’emplacement du magasin de clés sur le système de fichiers n’a pas d’importance. Veillez à conserver le mot de passe du magasin de clés.

    3. L’extension SubjectAlternativeName est requise pour éviter cette erreur de navigateur :

      NET::ERR_CERT_COMMON_NAME_INVALID

    4. Si vous utilisez plus d’une entrée « dns: » pour SubjectAlternativeName, utilisez une liste séparée par des virgules après « SubjectAlternativeName= » comme dans la commande ci-dessous. Chaque entrée de nom de serveur PowerProtect Data Manager acceptable a le format suivant :

      dns:<server name>

      L’URL utilisée pour accéder au serveur PowerProtect Data Manager doit correspondre à un nom de serveur dans la liste SubjectAlternativeName.

      Dans l’exemple ci-dessous, ces URL sont acceptables pour la demande du certificat :

      "https://ppdm.customer.com"
"https://ppdm"

      *Dans le champ SubjectAlternativeName, veillez à ne pas spécifier de noms qui ne sont pas résolus dans DNS sur le serveur PowerProtect Data Manager actuel. Les certificats de serveur PowerProtect Data Manager doivent être spécifiques à un serveur PowerProtect Data Manager.

      Exemple de commande keytool :

      keytool -genkeypair -alias ppdm_key -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -dname "CN=ppdm.customer.com, OU=Department Name, O=Company Name,L=Austin, S=Texas C=US" -ext "SubjectAlternativeName=dns:ppdm.customer.com,dns:ppdm" -startdate "2022/02/17 00:00:00" -validity 1825 -storetype PKCS12 -keystore ppdm.p12

      Ne modifiez pas les valeurs fournies pour -keyalg, -sigalg et -storetype.
      La commande vous invite à créer un mot de passe pour le magasin de clés personnalisé en cours de création :

      Enter keystore password: *******           Re-enter new password: *******

  5. Créez une demande de signature de certificat (CSR) « ppdm.csr » à l’aide de l’alias de la commande keytool à l’étape (4) :

    keytool -certreq -alias ppdm_key -keystore ppdm.p12 -ext "SubjectAlternativeName=dns:ppdm.customer.com,dns:ppdm" -file ppdm.csr

  6. Envoyez le fichier « ppdm.csr » à l’autorité de certification approuvée pour signature. Demandez à l’autorité de certification de renvoyer des certificats dans des fichiers individuels au format X.509 codé en base 64. Par exemple, une autorité de certification Microsoft Windows exporte un X.509 codé en base 64 avec l’extension .cer par défaut.

    Au minimum, l’autorité de certification peut renvoyer deux certificats signés :

    1. Un certificat correspond à l’autorité de certification racine. Le fichier de certificat d’autorité de certification peut porter n’importe quel nom. Toutefois, dans notre exemple, utilisez le nom de fichier root_ca.pem en accord avec le nom de fichier sur le serveur PowerProtect Data Manager. Pour le remplacement du certificat via l’interface utilisateur, l’extension de fichier n’a pas d’importance.

    2. L’autre certificat est le certificat personnalisé signé pour l’hôte PowerProtect Data Manager. (Cet exemple utilise le nom de fichier ppdmserver.pem.)

      En plus des certificats ci-dessus, l’autorité de certification peut renvoyer des certificats supplémentaires pour toute autorité de certification intermédiaire interne dans l’environnement. (Cet exemple utilise le nom de fichier subordinate_ca.pem.)

      En résumé, dans cet exemple, l’autorité de certification a renvoyé les trois fichiers .pem suivants :

      root_ca.pem
subordinate_ca.pem
ppdmserver.pem

      Si la chaîne est renvoyée dans un fichier, ouvrez chaque certificat sur une machine Windows. Dans l’onglet Détails, utilisez le bouton Copier dans un fichier pour enregistrer une copie au format X.509 codé en base 64.

  7. Exportez la clé de serveur PowerProtect Data Manager vers un fichier sous le nom « ppdmserverkey.rsa » :

    openssl pkcs12 -in ppdm.p12 -nocerts -nodes -out ppdmserverkey.rsa

  8. Convertissez le fichier de clé « ppdmserverkey.rsa » du format RSA au format pem (X.509 codé en base 64). Cet exemple de commande génère le fichier de sortie « ppdmserverkey.pem » :

    openssl rsa -in ppdmserverkey.rsa -out ppdmserverkey.pem

  9. Importez le certificat et la clé privée via l’interface utilisateur Web. Dans les exemples d’étapes ci-dessus, il s’agit respectivement de « ppdmserver.pem »** et « ppdmserverkey.pem ».

  10. Redémarrez le service Web « ngin x» de PowerProtect Data Manager :

    systemctl restart nginx

**À partir de la version 19.16, l’importation de la chaîne de certificats est requise avec les exigences suivantes :
a) La date d’expiration du certificat PowerProtect Data Manager doit être égale ou inférieure à celle du certificat du serveur de l’autorité de certification qui a traité le .csr.
b) S’il existe une ou plusieurs CA intermédiaires, les certificats des parents dans la hiérarchie doivent avoir des dates d’expiration égales ou supérieures à celles de l’AC parent-signataire.
c) L’autorité de certification racine doit être un certificat auto-signé.
d) Le certificat public importé dans PowerProtect Data Manager doit être une chaîne possédant la hiérarchie complète.
Le moyen le plus simple de créer la chaîne requise consiste à concaténer les certificats dans un seul fichier en commençant par le certificat PowerProtect Data Manager en premier et l’autorité de certification racine en dernier.  Le fichier de chaîne de certificats qui en résulte est une liste de certificats dans l’ordre hiérarchique inverse, comme dans l’exemple suivant.

admin@ppdm:~>cat ppdmserver.pem>>chain.pem
admin@ppdm:~>cat subordinate_ca.pem>>chain.pem
admin@ppdm:~>cat root_ca.pem>>chain.pem

Importez chain.pem en tant que certificat public.

Produits concernés

PowerProtect Data Manager
Propriétés de l’article
Numéro d’article: 000196460
Type d’article: How To
Dernière modification: 02 sept. 2025
Version:  11
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.