Data Domain: Hostcertificaten voor HTTP en HTTPS beheren

Shrnutí: Met behulp van hostcertificaten kunnen browsers en applicaties de identiteit van een Data Domain-systeem verifiëren bij het opzetten van beveiligde beheersessies. HTTPS is standaard ingeschakeld. Het systeem kan gebruikmaken van een zelfondertekend certificaat of een geïmporteerd certificaat van een vertrouwde certificeringsinstantie (CA). In dit artikel wordt uitgelegd hoe u certificaten voor HTTP/HTTPS op Data Domain systemen kunt controleren, genereren, aanvragen, importeren en verwijderen. ...

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Pokyny

Certificaten kunnen verlopen of ongeldig worden. Als er geen certificaat wordt geïmporteerd, gebruikt het systeem een zelfondertekend certificaat, dat browsers of geïntegreerde applicaties mogelijk niet vertrouwen.


  1. Controleer bestaande certificaten.

Voer op Data Domain (DD-CLI) de volgende opdracht uit om geïnstalleerde certificaten weer te geven:

adminaccess certificate show

Als certificaten verlopen zijn of bijna verlopen:

  • Indien zelfondertekend, regenereren met behulp van DD-CLI
  • Indien geïmporteerd, volgt u de onderstaande stappen voor CSR en import.
    1. Genereer zelfondertekende certificaten.

    U kunt het HTTPS-certificaat als volgt opnieuw genereren:

    adminaccess certificate generate self-signed-cert
    

    HTTPS- en vertrouwde CA-certificaten opnieuw genereren:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Een CSR (Certificate Signing Request) genereren

    Gebruik DD System Manager:

    1. Stel een wachtwoordzin in, als u dit nog niet hebt gedaan:
    system passphrase set
    
    1. Ga naar Administration > Access > Administrator access.
    2. Selecteer het tabblad > HTTPS > Certificaat configureren>.
    3. Klik op De CSR voor dit Data Domain systeem genereren.
    4. Vul het CSR-formulier in en download het bestand van:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Alternatief CLI-voorbeeld:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Ondertekend certificaat importeren

    Gebruik DD System Manager:

    1. Selecteer toegang tot > beheer > Toegang tot Abeheerder
    2. Selecteer in het gedeelte Services HTTPS en klik op Configureren
    3. Selecteer het tabblad Certificaat
    4. Klik op Add. Er verschijnt een dialoogvenster Uploaden:
    • Voor .p12 Bestand:
      • Selecteer Certificaat uploaden als .p12 Archiveer, voer wachtwoord in, blader en upload.
      • Voorbeeld voor .p12 Selectie:
    Certificaat uploaden als.p12-bestand
    • Voor .pem Bestand:
      • Selecteer Openbare sleutel uploaden als .pem Bestand en gebruik gegenereerde persoonlijke sleutel, blader en upload.

    Alternatief voor DD CLI: Zie het artikel Data Domain: Een certificaatondertekeningsaanvraag genereren en extern ondertekende certificaten gebruiken

    1. Verwijder het bestaande certificaat.

    Voordat u een nieuw certificaat toevoegt, verwijdert u het huidige certificaat:

      1. Ga naar het tabblad Beheerderstoegang > > > voor HTTPS > Certificaat configureren>.
      2. Selecteer Certificaat en klik op Verwijderen.

     

    1. CSR-validatie

    CSR valideren met behulp van de Windows opdrachtprompt:

    certutil -dump <CSR file path>
    1. Probleemoplossing: in de browser wordt Certificate Untrusted weergegeven na het importeren van een door een CA ondertekend certificaat

    Als de browser de waarschuwing "Certificaat niet vertrouwd" of "Verbinding is niet beveiligd" weergeeft na het importeren van een CA-ondertekend certificaat, ontbreekt in het geïmporteerde PEM- of P12-bestand mogelijk een of meer tussenliggende CA-certificaten in de certificaatketen.

    Oorzaak: Wanneer het geïmporteerde bestand alleen het leaf-certificaat (servercertificaat) bevat zonder het tussenliggende CA-certificaat/de tussenliggende CA-certificaten, bedient Data Domain een onvolledige certificaatketen. Sommige desktopbrowsers halen mogelijk automatisch ontbrekende tussenproducten op, maar mobiele apparaten, bewakingssystemen en DD-naar-DD-vertrouwensbewerkingen mislukken.

    Controleer de certificaatketen:

    Op een werkstation waarop OpenSSL is geïnstalleerd, inspecteert u het PEM-bestand voordat u het importeert:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Met deze opdracht worden alle certificaten in het bestand weergegeven. Een volledige keten moet het volgende omvatten:

    • Het leaf-certificaat (server) (onderwerp CN komt overeen met de DD-hostnaam/FQDN)
    • Een of meer tussenliggende CA-certificaten
    • Optioneel het basis-CA-certificaat

    Als alleen het leaf-certificaat aanwezig is, is de keten incompleet.

    Resolutie:

    1. Verkrijg de tussenliggende CA-certificaten van het team van de Enterprise Certificate Authority.

    2. Voeg de certificaten samen in één PEM-bestand in de volgende volgorde:

      • Leaf-certificaat (eerste)
      • Intermediaire CA-certificaat(en) (in kettingvolgorde)
      • Basis-CA-certificaat (laatste, optioneel)
    3. Verwijder het huidige geïmporteerde certificaat uit Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importeer het gereconstrueerde PEM-bestand met de volledige keten met behulp van de GUI- of CLI-procedures in sectie 4 hierboven.

    Opmerking: Privé- en openbare sleutels moeten 2048 bits zijn. DDOS ondersteunt slechts één hostcertificaat voor HTTPS tegelijk. Als u de .p12-indeling gebruikt, moet u ervoor zorgen dat het PKCS#12-bestand is gegenereerd met de volledige certificaatketen inbegrepen.

    Další informace

    • Privé- en openbare sleutels moeten 2048 bits zijn.
    • DDOS ondersteunt alleen een actieve CSR en een ondertekend certificaat voor HTTPS tegelijk.

    Referentie: Implementatie KB: Data Domain: extern ondertekende certificaten gebruiken

    Dotčené produkty

    Data Domain
    Vlastnosti článku
    Číslo článku: 000205198
    Typ článku: How To
    Poslední úprava: 07 Jul 2026
    Verze:  9
    Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
    Služby podpory
    Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.