Data Domain : Comment générer une demande de signature de certificat et utiliser des certificats signés en externe
Summary: Création d’une demande de signature de certificat (CSR) sur un système Data Domain.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Certains utilisateurs ont besoin de certificats signés en externe au lieu des certificats auto-signés, afin d’éviter l’avertissement de sécurité. Si le système Data Domain ou Cloud Tier utilise le gestionnaire de clés de chiffrement externe RSA Data Protection Manager (DPM), il a besoin d’un certificat hôte PKCS12 et d’un certificat d’autorité au format de certificat public Privacy Enhanced Mail (PEM) pour établir une connexion approuvée entre le serveur RSA Data Protection Manager et chaque système Data Domain qu’il gère.
Demande de signature de
certificatLa demande de signature de certificat est disponible à l’emplacement suivant :
Une fois terminé, ouvrez votre navigateur et vérifiez s’il réussit l’avertissement de sécurité.
Un nouveau certificat s’affiche à l’aide de cette commande :
Demande de signature de
certificatLa demande de signature de certificat est disponible à l’emplacement suivant :
/ddvar/certificates/CertificateSigningRequest.csr
- Le système doit disposer d’une phrase secrète définie.
system passphrase set
- Générer la demande de signature de certificat
#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value] Vous pouvez obtenir ces informations auprès de l’utilisateur. Il est recommandé d’utiliser une taille de clé de 2 048 bits :
- Force de la clé privée : Les valeurs d’énumération autorisées sont 1 024 bits, 2 048 bits, 3 072 bits ou 4 096 bits. La valeur par défaut est 2048 bits.
- Pays : La valeur par défaut est US. Cette abréviation ne peut pas dépasser deux caractères. Aucun caractère spécial n’est autorisé.
- State: La valeur par défaut est California. L’entrée ne doit pas dépasser 128 caractères.
- Ville : La valeur par défaut est Santa Clara. L’entrée ne doit pas dépasser 128 caractères.
- Nom de l’organisation : La valeur par défaut est My Company Ltd. L’entrée ne doit pas dépasser 64 caractères.
- Unité organisationnelle : La valeur par défaut est une chaîne vide. L’entrée ne doit pas dépasser 64 caractères.
- Nom commun: La valeur par défaut est le nom d’hôte du système. L’entrée ne doit pas dépasser 64 caractères.
- Nom alternatif de l’objet : Définit un ou plusieurs noms alternatifs pour l’identité utilisable par le certificat généré après la signature de cette CSR par l’autorité de certification. Le nom alternatif peut être utilisé en plus du nom d’objet du certificat ou à la place du nom d’objet. Il s’agit notamment d’une adresse e-mail, d’un URI (Uniform Resource Indicator), d’un nom de domaine (DNS), d’un ID enregistré (RID) : ID D’OBJET, une adresse IP, un nom unique (dirName) et un autre nom
- Pour une CSR générée sur un système haute disponibilité (HA), incluez les noms des systèmes actifs, en veille et HA sous subject-alternative-name.
- Voici un exemple :
IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Exemple de commande CSR :
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144" Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : Cali City : Santa Clara Organization Name : Dreamin Common Name : Beach_Boys Basic Constraints : Key Usage : Extended Key Usage : Subject Alt Name : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
- Copiez la demande CSR après sa génération et remettez-la à l’autorité de certification du client pour signature. Le fichier est disponible à l’adresse suivante :
/ddvar/certificates/CertificateSigningRequest.csr - CA vous restitue un fichier signé au format .cer ou .pem.
- Copiez le fichier signé dans
/ddvar/certficates - Importez le fichier dans Data Domain en tant que tel :
#adminaccess certificate import host application https file FILENAME.cerLe certificat importé redémarre les services HTTPS ou HTTP. Il est donc préférable que vous soyez déconnecté de l’interface utilisateur avant d’exécuter cette commande.
Une fois terminé, ouvrez votre navigateur et vérifiez s’il réussit l’avertissement de sécurité.
Un nouveau certificat s’affiche à l’aide de cette commande :
#adminaccess certificate show
Additional Information
Validation
CSR ============
la CSR peut être validée une fois qu’elle a été générée et hors du Data Domain. L’une de ces méthodes consiste à utiliser Windows certutil.
Enregistrez la CSR sur un système Windows et exécutez l’invite de commande. certutil -dump <CSR with path>
Exemple :
Il s’agit du début de la sortie de la commande et toutes les données de la CSR s’affichent.
Affected Products
DD OSProducts
DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2Article Properties
Article Number: 000021466
Article Type: How To
Last Modified: 07 Oct 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.