Data Domain. Как создать запрос на подпись сертификата и использовать сертификаты с внешней подписью
Summary: Создание запроса подписи сертификата (CSR) в Data Domain.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Некоторым пользователям требуются сертификаты с внешней подписью вместо самозаверяющих сертификатов, чтобы избежать предупреждения системы безопасности. Если в системе Data Domain или на уровне облака используется диспетчер внешних ключей шифрования RSA Data Protection Manager (DPM), для установки доверенного соединения между сервером RSA Data Protection Manager и каждой управляемой им системой Data Domain требуется сертификат хоста PKCS12 и сертификат доверия в формате открытого сертификата Privacy Enhanced Mail (PEM).
Запрос подписи
сертификатаЗапрос подписи сертификата доступен в этом расположении:
После завершения откройте браузер и проверьте, прошло ли предупреждение системы безопасности.
Новый сертификат отображается с помощью следующей команды:
Запрос подписи
сертификатаЗапрос подписи сертификата доступен в этом расположении:
/ddvar/certificates/CertificateSigningRequest.csr
- В системе должна быть установлена фраза-пароль.
system passphrase set
- Создание запроса на подпись сертификата
#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value] Эту информацию можно получить от пользователя, и рекомендуется использовать 2048-битный размер ключа:
- Надежность закрытого ключа: Допустимые значения перечисления: 1024, 2048, 3072 или 4096 бит. Значение по умолчанию — 2048 бит.
- Страна: Значение по умолчанию: US. Эта аббревиатура не может превышать двух символов. Использование специальных символов не допускается.
- State: Значение по умолчанию — California. Максимальная длина записи — 128 символов.
- Город: Значение по умолчанию: Santa Clara. Максимальная длина записи — 128 символов.
- Название организации: Значение по умолчанию: My Company Ltd. Максимальная длина записи — 64 символа.
- Организационная единица: Значение по умолчанию — пустая строка. Максимальная длина записи — 64 символа.
- Общее имя: Значением по умолчанию является имя хоста системы. Максимальная длина записи — 64 символа.
- Альтернативное имя субъекта: Определяет одно или несколько альтернативных имен для удостоверения, используемого сертификатом, созданным после подписания этого запроса подписи сертификата центром сертификации. Альтернативное имя можно использовать в дополнение к имени субъекта сертификата или вместо имени субъекта. К ним относятся адрес электронной почты, универсальный код ресурса (URI), доменное имя (DNS) и зарегистрированный идентификатор (RID). OBJECT IDENTIFIER, IP-адрес, отличительное имя (dirName) и другое имя
- Для запроса CSR, созданного в системе высокой доступности (HA), включите имена активных, резервных систем и систем высокой доступности в поле subject-alternative-name.
- Один из примеров:
IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Пример команды CSR:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144" Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : Cali City : Santa Clara Organization Name : Dreamin Common Name : Beach_Boys Basic Constraints : Key Usage : Extended Key Usage : Subject Alt Name : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
- Скопируйте запрос CSR после создания и передайте его на подпись в центр сертификации заказчика. Файл доступен по адресу:
/ddvar/certificates/CertificateSigningRequest.csr - CA возвращает подписанный файл в форматах .cer или .pem.
- Скопируйте подписанный файл в
/ddvar/certficates - Импортируйте файл в Data Domain следующим образом:
#adminaccess certificate import host application https file FILENAME.cerИмпортированный сертификат перезапускает службы HTTPS или HTTP, поэтому перед выполнением этой команды лучше выйти из пользовательского интерфейса.
После завершения откройте браузер и проверьте, прошло ли предупреждение системы безопасности.
Новый сертификат отображается с помощью следующей команды:
#adminaccess certificate show
Additional Information
Валидация
CSR ============
Запрос CSR можно проверить после его создания и вне Data Domain. Одним из таких методов является использование Windows certutil.
Сохраните запрос подписи сертификата в системе Windows и с помощью командной строки запустите certutil -dump <CSR with path>
Пример.
Это начало вывода команды, и отображаются все данные в CSR.
Affected Products
DD OSProducts
DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2Article Properties
Article Number: 000021466
Article Type: How To
Last Modified: 07 Oct 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.