Data Domain: Erzeugen einer Zertifikatsignierungsanforderung und Verwenden extern signierter Zertifikate

Zusammenfassung: Erstellen einer Zertifikatsignieranforderung (CSR) auf einer Data Domain und Importieren des signierten Zertifikats

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Einige Nutzer benötigen extern signierte Zertifikate anstelle der selbstsignierten Zertifikate, um die Sicherheitswarnung zu vermeiden.

Wichtig: Sie können keine alte CSR wiederverwenden, die bereits für ein importiertes Zertifikat verwendet wurde. Jede CSR ist an das signierte Zertifikat gebunden, das importiert wird. Daher muss für jeden Import eines neu signierten Zertifikats eine eindeutige CSR erzeugt werden.

Zertifikatsignieranforderung

  1. Für das System sollte eine Passphrase festgelegt sein, falls dies nicht bereits der Fall ist:
  #system passphrase set
  1. Erzeugen Sie die Zertifikatsignieranforderung:
adminaccess certificate cert-signing-request generate
                [key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
                [country <country-code>] [state <state>] [city <city>]
                [org-name <organization-name>]
                [common-name <common-name>]
                [basic-constraint {CA:TRUE | CA:FALSE}]
                [key-usage {all | cRLsign | digitalSignature | keyCertSign
                                | keyEncipherment | nonRepudiation
                                | <keyUsage-list>}]
                [extended-key-usage {all | clientAuth | serverAuth
                                | <extendedKeyUsage-list>}]
                [subject-alt-name <value>]
                                       Generates a CSR
Informationen zu Argumenten für CSR

Entnommen aus dem Befehlsreferenzhandbuch DDOS 7.13 (Anmeldung beim Dell Support erforderlich, um dieses Dokument anzuzeigen.)
    • 99 % der Zertifikate legen keine grundlegende Einschränkung fest, und wenn doch, würden sie CA:FALSE
    • keyUsage und extendedKeyUsage werden selten verwendet, können aber basierend auf den Anforderungen des Kunden festgelegt werden.
    • Geben Sie für eine CSR, die auf einem HA-System (High Availability ) erzeugt wurde, die Namen des aktiven, Stand-by- und HA-Systems unter subject-alternative-name ein.
    • Eines der Beispiele ist: "IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Beispiel für einen CSR-Befehl:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. Wenn auf die Benutzeroberfläche zugegriffen werden kann, können Sie die CSR auch wie folgt über die Webnutzeroberfläche herunterladen:
    1. Verwaltung >Zugriff >HTTPS >Konfigurieren

Administration –> Zugriff –> HTTPS –> Konfigurieren

    1. Zertifikat >Hinzufügen

Zertifikat –> hinzufügen

    1. Laden Sie die CSR herunter:

CSR

  1. Wenn auf die Benutzeroberfläche nicht zugegriffen werden kann, kopieren Sie die CSR-Anforderung, nachdem sie erzeugt wurde. Die Datei ist verfügbar unter: /ddvar/certificates/CertificateSigningRequest.csr
    1. Der einfachste Weg zum Herunterladen ist SCP, das in neueren Versionen von Windows in der Eingabeaufforderung oder im Linux-Terminal verwendet werden kann
    2. # scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (das '.' sagt, dass CSR in das aktuelle Arbeitsverzeichnis heruntergeladen werden soll)
  2. Geben Sie die CSR zur Signierung an die Zertifizierungsstelle des Kunden. Die Zertifizierungsstelle gibt Ihnen das signierte Zertifikat zurück. Die Zertifizierungsstelle kann in der Regel das signierte Zertifikat in einem beliebigen Format bereitstellen. DD unterstützt PEM und PKCS#12 Formate. Dies sollte bei der Zertifizierungsstelle angefordert werden. Wenn das Zertifikat in einem anderen Format vorliegt, muss es mit einem Programm wie OpenSSL konvertiert werden. Wird in der Regel konvertiert zu PEM ist am einfachsten. Weitere Informationen finden Sie im DigiCert-Artikel So konvertieren Sie ein Zertifikat in das entsprechende Format (Externer Link)
  3. Sie können jetzt die Datei PEM oder PKCS cert in der Benutzeroberfläche auf derselben Seite, auf die Sie die CSR heruntergeladen haben:

Zertifikat hochladen

  1. Sie können die CLI auch zum Importieren mit Folgendem verwenden:
#adminaccess certificate import host application https
  1.  
Fügen Sie den Inhalt der signierten Zertifikatdatei ein und press ctrl + d Zweimal zu importieren
  1. Wenn Sie weiterhin Probleme beim Importieren haben, kopieren Sie die signierte Datei in das Verzeichnis /ddvar/certificates Verwenden von SCP, z. B. Schritt 4b
  2. Importieren Sie die Datei als solche in Data Domain:
#adminaccess certificate import host application https file <certificate.pem>
  • Das importierte Zertifikat startet die HTTPS- oder HTTP-Services neu. Die Benutzeroberfläche fällt etwa für eine Minute aus.
  • Öffnen Sie nach Abschluss des Vorgangs Ihren Browser und überprüfen Sie, ob er die Sicherheitswarnung erfüllt. 
  • Mit diesem Befehl wird ein neues Zertifikat angezeigt:
#adminaccess certificate show

 

Wenn es immer noch Probleme gibt, das Zertifikat zu importieren, lesen Sie den Abschnitt "Zusätzliche Informationen" unten.

Weitere Informationen

CSR-Validierung
Die CSR kann validiert werden, nachdem sie erzeugt wurde und sich außerhalb von Data Domain befindet. Eine solche Methode ist die Verwendung von Windows certutilaus.
Speichern Sie die CSR auf einem Windows-System und führen Sie mithilfe der Eingabeaufforderung Folgendes aus: certutil -dump <CSR with path> 

Beispiel:

certutil -dump CSR 


Dies ist der Beginn der Befehlsausgabe und alle Daten in der CSR werden angezeigt.

Sie können denselben Befehl für das signierte Zertifikat ausführen. Sie sollten wissen, ob das signierte Zertifikat für die CSR gültig ist, wenn die öffentlichen Schlüssel für beide übereinstimmen: 

Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 d9 0b 01 f3 33 b5 39
    0010  9e 52 92 86 6f 40 2e 8f  29 94 95 89 1d 9d 10 a6
    0020  9b f4 b6 f2 3f 4e aa cf  24 96 94 b9 db 62 41 24
    0030  3f 9a 64 22 7d 04 92 5d  2d 57 60 1c 52 40 20 88
    0040  08 2c 2e 43 54 c2 0c 0d  bf 0c e3 bb 1e 30 ab 66
    0050  91 7e 3e 3d a9 b2 fe 89  1d 36 c8 5b c1 e5 ea a2
    0060  74 e1 e8 8b 8d a8 3a 6b  72 c8 47 a4 e2 b8 76 ec
    0070  c0 37 f0 64 85 1f f2 c8  d6 fb 9a aa 0e 49 b4 05
    0080  c4 73 4e 47 3f 61 0b ed  9c d7 fe 69 97 b2 1d 37
    0090  f2 06 1d d8 33 de e1 63  10 de 43 d3 29 47 7d b7
    00a0  aa 2b a2 60 58 88 ae 27  7a 28 35 9c cd 87 63 02
    00b0  ab b5 b4 d2 c0 8e f7 8c  89 b2 fc a3 20 18 6b 41
    00c0  bd 46 cb 6e 78 aa a8 3b  fb cd 08 4d 18 b3 bd a6
    00d0  d9 e3 6a 34 cb ef d4 b0  64 88 a7 6c ec f3 db 1d
    00e0  8e 25 10 d8 0a 03 a1 d7  11 69 e1 6c f2 70 78 62
    00f0  66 27 d8 05 52 53 38 1a  57 2b 13 66 cf 76 4d 4e
    0100  20 90 89 ee ac aa c0 97  6d 02 03 01 00 01

Betroffene Produkte

DD OS

Produkte

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
Artikeleigenschaften
Artikelnummer: 000021466
Artikeltyp: How To
Zuletzt geändert: 05 Juni 2026
Version:  12
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.