Data Domain: Opret en anmodning om certifikatsignering, og brug eksternt signerede certifikater
Oversigt: Oprette en anmodning om certifikatsignering (CSR) på et Data Domain og importere det signerede certifikat
Instruktioner
Nogle brugere kræver eksternt signerede certifikater i stedet for de selvsignerede certifikater for at undgå sikkerhedsadvarslen.
Vigtigt: Du kan ikke genbruge en gammel CSR, som allerede blev brugt til et importeret certifikat. Hver CSR er knyttet til det signerede certifikat, der importeres. Så der skal genereres en unik CSR for hver import af et nyligt underskrevet certifikat.
Anmodning om certifikatsignering
- Systemet bør have angivet et adgangsudtryk , hvis det ikke allerede gør det:
#system passphrase set
- Generer anmodningen om certifikatsignering:
adminaccess certificate cert-signing-request generate
[key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
[country <country-code>] [state <state>] [city <city>]
[org-name <organization-name>]
[common-name <common-name>]
[basic-constraint {CA:TRUE | CA:FALSE}]
[key-usage {all | cRLsign | digitalSignature | keyCertSign
| keyEncipherment | nonRepudiation
| <keyUsage-list>}]
[extended-key-usage {all | clientAuth | serverAuth
| <extendedKeyUsage-list>}]
[subject-alt-name <value>]
Generates a CSR
Taget fra DDOS 7.13 Command Reference Guide (Log på Dell Support er påkrævet for at se dette dokument.)
-
- 99 % af certifikaterne fastsætter ikke en grundlæggende begrænsning, og hvis de gør det, ville de bruge
CA:FALSE keyUsageogextendedKeyUsagebruges sjældent, men kan indstilles ud fra kundens krav.- For en CSR, der genereres på et HA-system (High Availability ), skal du medtage de aktive, standby- og HA-systemnavne under emne-alternativ-navn.
- Et af eksemplerne er:
"IP:<IP address>, IP:<IP address>, DNS:example.dell.com"
- 99 % af certifikaterne fastsætter ikke en grundlæggende begrænsning, og hvis de gør det, ville de bruge
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144" Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : Cali City : Santa Clara Organization Name : Dreamin Common Name : Beach_Boys Basic Constraints : Key Usage : Extended Key Usage : Subject Alt Name : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
- Hvis brugergrænsefladen er tilgængelig, kan du også downloade CSR fra webbrugergrænsefladen på følgende måde:
- Administration >Adgang >HTTPS >Konfigurere

-
- Certifikat >Tilføj

-
- Download CSR:

- Hvis brugergrænsefladen ikke er tilgængelig, skal du kopiere CSR-anmodningen, når den er genereret. Filen er tilgængelig på:
/ddvar/certificates/CertificateSigningRequest.csr- Den nemmeste måde at downloade på er med SCP, som kan bruges i kommandoprompten i nyere versioner af Windows eller i Linux-terminalen
# scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (Den'.'siger at downloade CSR til nuværende arbejdsmappe)
- Giv CSR'en til kundens certifikatmyndighed til underskrift. CA giver dig det signerede certifikat tilbage. CA kan normalt levere det signerede certifikat i det format, du ønsker. DD understøtter
PEMogPKCS#12Formater. Det bør den kompetente myndighed anmode om. Hvis certifikatet er i et andet format, skal det konverteres med et program som OpenSSL. Konverterer typisk tilPEMer den nemmeste. Mere info findes i DigiCert artiklen Sådan konverteres et certifikat til det relevante format (Eksternt link) - Du kan nu overføre
PEMellerPKCScert i brugergrænsefladen på samme side, som du downloadede CSR:

- Du kan også bruge CLI til at importere med:
#adminaccess certificate import host application https
press ctrl + d to gange for at importere
- Hvis du stadig har problemer med at få den til at importere, skal du kopiere den signerede fil til
/ddvar/certificatesved hjælp af SCP som trin 4b - Importer filen til Data Domain som sådan:
#adminaccess certificate import host application https file <certificate.pem>
- Det importerede certifikat genstarter HTTPS- eller HTTP-tjenesterne, brugergrænsefladen går ned i et minut eller deromkring.
- Når du er færdig, skal du åbne din browser og kontrollere, om den passerer sikkerhedsadvarslen.
- Der vises et nyt certifikat ved hjælp af denne kommando:
#adminaccess certificate show
Hvis der stadig er problemer med at få certifikatet importeret, skal du se afsnittet med yderligere oplysninger nedenfor.
Flere oplysninger
CSR-validering
CSR'en kan valideres, når den er genereret og uden for Data Domain. En sådan metode er at bruge Windows certutil.
Gem CSR på et Windows-system, og kør kommandoprompten certutil -dump <CSR with path>
Eksempel:
Dette er starten på kommandooutputtet, og alle data i CSR vises.
Du kan køre den samme kommando mod det signerede certifikat. Du skal vide, om det underskrevne certifikat er gyldigt for CSR, hvis de offentlige nøgler til begge matcher:
Public Key: UnusedBits = 0 0000 30 82 01 0a 02 82 01 01 00 d9 0b 01 f3 33 b5 39 0010 9e 52 92 86 6f 40 2e 8f 29 94 95 89 1d 9d 10 a6 0020 9b f4 b6 f2 3f 4e aa cf 24 96 94 b9 db 62 41 24 0030 3f 9a 64 22 7d 04 92 5d 2d 57 60 1c 52 40 20 88 0040 08 2c 2e 43 54 c2 0c 0d bf 0c e3 bb 1e 30 ab 66 0050 91 7e 3e 3d a9 b2 fe 89 1d 36 c8 5b c1 e5 ea a2 0060 74 e1 e8 8b 8d a8 3a 6b 72 c8 47 a4 e2 b8 76 ec 0070 c0 37 f0 64 85 1f f2 c8 d6 fb 9a aa 0e 49 b4 05 0080 c4 73 4e 47 3f 61 0b ed 9c d7 fe 69 97 b2 1d 37 0090 f2 06 1d d8 33 de e1 63 10 de 43 d3 29 47 7d b7 00a0 aa 2b a2 60 58 88 ae 27 7a 28 35 9c cd 87 63 02 00b0 ab b5 b4 d2 c0 8e f7 8c 89 b2 fc a3 20 18 6b 41 00c0 bd 46 cb 6e 78 aa a8 3b fb cd 08 4d 18 b3 bd a6 00d0 d9 e3 6a 34 cb ef d4 b0 64 88 a7 6c ec f3 db 1d 00e0 8e 25 10 d8 0a 03 a1 d7 11 69 e1 6c f2 70 78 62 00f0 66 27 d8 05 52 53 38 1a 57 2b 13 66 cf 76 4d 4e 0100 20 90 89 ee ac aa c0 97 6d 02 03 01 00 01