Data Domain: gerenciando certificados de host para HTTP e HTTPS

Shrnutí: Os certificados de host permitem que navegadores e aplicativos verifiquem a identidade de um sistema Data Domain ao estabelecer sessões de gerenciamento seguras. O HTTPS é ativado por padrão. O sistema pode usar um certificado autoassinado ou um certificado importado de uma autoridade de certificação (CA) confiável. Este artigo explica como verificar, gerar, solicitar, importar e excluir certificados para HTTP/HTTPS em sistemas Data Domain. ...

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Pokyny

Os certificados podem expirar ou se tornar inválidos. Se nenhum certificado for importado, o sistema usará um certificado autoassinado no qual os navegadores ou aplicativos integrados podem não confiar.


  1. Verifique os certificados existentes.

No Data Domain (DD-CLI), execute o seguinte comando para visualizar os certificados instalados:

adminaccess certificate show

Se os certificados estiverem expirados ou próximos da expiração:

  • Se for autoassinado, gere novamente usando o DD-CLI
  • Se for importado, siga as etapas de importação e CSR abaixo.
    1. Gerar certificados autoassinados.

    Para gerar novamente o certificado HTTPS:

    adminaccess certificate generate self-signed-cert
    

    Para gerar novamente HTTPS e certificados confiáveis da CA:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Gerar uma solicitação de assinatura de certificado (CSR)

    Use DD System Manager:

    1. Defina uma frase secreta, se ainda não tiver feito:
    system passphrase set
    
    1. Acesse Administration > Access > Administrator Access.
    2. Selecione HTTPS > Configurar > guia > Certificado Adicionar.
    3. Clique em Generate the CSR for this Data Domain system.
    4. Preencha o formulário de CSR e faça download do arquivo em:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Exemplo alternativo de CLI:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Importar certificado assinado

    Use DD System Manager:

    1. Selecione Administration > Access > Administrator Access
    2. Na área Services, selecione HTTPS e clique em Configure
    3. Selecione a guia Certificado
    4. Clique em Add. Uma caixa de diálogo Upload será exibida:
    • Para .p12 file:
      • Selecione Fazer upload do certificado como .p12 Arquivo, digite a senha, procure e carregue.
      • Exemplo de .p12 Seleção:
    Fazer upload do certificado como arquivo p12
    • Para .pem file:
      • Selecione Upload public key as .pem Arquive e use a chave privada gerada, procure e carregue.

    Alternativa à CLI do DD: consulte o artigo Data Domain: Como gerar uma solicitação de assinatura de certificado e usar certificados assinados externamente

    1. Exclua o certificado existente.

    Antes de adicionar um novo certificado, exclua o certificado atual:

      1. Acesse a guia Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
      2. Selecione o certificado e clique em Delete.

     

    1. Validação do CSR

    Valide a CSR usando o prompt de comando do Windows:

    certutil -dump <CSR file path>
    1. Solução de problemas: O navegador mostra "Certificado não confiável" após a importação de certificado assinado pela CA

    Se o navegador exibir um aviso "certificado não confiável" ou "a conexão não é segura" após importar um certificado assinado pela CA, o arquivo PEM ou P12 importado pode estar ausente certificado(s) CA intermediário(s) na cadeia de certificados.

    Causa: Quando o arquivo importado contém apenas o certificado leaf (servidor) sem o(s) certificado(s) intermediário(s) da CA, o Data Domain atende a uma cadeia de certificados incompleta. Alguns navegadores de desktop podem recuperar automaticamente intermediários ausentes, mas dispositivos móveis, sistemas de monitoramento e operações de confiança de DD para DD falharão.

    Verifique a cadeia de certificados:

    Em uma workstation com OpenSSL instalado, inspecione o arquivo PEM antes da importação:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Esse comando lista todos os certificados do arquivo. Uma cadeia completa deve incluir:

    • O certificado leaf (servidor) (CN do assunto correspondente ao nome do host/FQDN do DD)
    • Um ou mais certificados intermediários da CA
    • Como opção, o certificado raiz da CA

    Se apenas o certificado leaf estiver presente, a cadeia estará incompleta.

    Resolução:

    1. Obtenha o(s) certificado(s) de CA intermediário(s) da equipe da autoridade de certificação corporativa.

    2. Concatene os certificados em um único arquivo PEM na seguinte ordem:

      • Certificado Leaf (primeiro)
      • Certificado(s) CA intermediário(s) (em ordem de cadeia)
      • Certificado raiz da CA (último, opcional)
    3. Exclua o certificado importado atual do Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importe o arquivo PEM reconstruído que contém a cadeia completa usando os procedimentos da GUI ou da CLI da Seção 4 acima.

    Nota: As chaves privada e pública devem ter 2048 bits. O DDOS é compatível com apenas um certificado de host para HTTPS por vez. Se estiver usando o formato .p12, verifique se o arquivo PKCS#12 foi gerado com toda a cadeia de certificados incluída.

    Další informace

    • As chaves pública e privada devem ter 2048 bits.
    • O DDOS só é compatível com uma CSR ativa e um certificado assinado para HTTPS por vez.

    Referência: artigo da KB de implementação: Data Domain: como usar certificados assinados externamente

    Dotčené produkty

    Data Domain
    Vlastnosti článku
    Číslo článku: 000205198
    Typ článku: How To
    Poslední úprava: 07 Jul 2026
    Verze:  9
    Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
    Služby podpory
    Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.