Data Domain：如何生成证书签名请求并使用外部签名的证书

Summary: 在 Data Domain 上创建证书签名请求（CSR）。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Instructions

某些用户需要外部签名证书，而不是自签名证书，以避免安全警告。如果 Data Domain 系统或 Cloud Tier 使用 RSA Data Protection Manager （DPM）外部加密密钥管理器，则需要 PKCS12 主机证书和采用 Privacy Enhanced Mail （PEM）公用证书格式的颁发机构证书，以便在 RSA Data Protection Manager 服务器与其管理的每个 Data Domain 系统之间建立受信任连接。

证书签名请求
证书签名请求位于以下位置： /ddvar/certificates/CertificateSigningRequest.csr

系统应设置密码。

system passphrase set

生成证书签名请求

#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value]

您可以从用户那里获取此信息，建议使用 2048 位密钥大小：

私钥强度：允许的枚举值为 1024 位、2048 位、3072 位或 4096 位。默认值为 2048 位。
国家/地区：默认值为 US。此缩写不能超过两个字符。不允许使用特殊字符。
State：默认值为 California。最大条目长度为 128 个字符。
城市：默认值为 Santa Clara。最大条目长度为 128 个字符。
组织名称：默认值为 My Company Ltd.。最大条目长度为 64 个字符。
组织单位：默认值为空字符串。最大条目长度为 64 个字符。
通用名称：默认值为系统主机名。最大条目长度为 64 个字符。
主题替代名称：为 CA 签署此 CSR 后生成的证书可使用的标识定义一个或多个备用名称。备用名称是除证书的 subject-name 之外可用，或者代替 subject-name。其中包括电子邮件地址、统一资源指示器（URI）、域名（DNS）、注册 ID （RID）：OBJECT IDENTIFIER、IP 地址、可分辨名称（dirName）和其他名称
- 对于在高可用性（HA）系统上生成的 CSR，请在 subject-alternative-name下包含活动、备用和 HA 系统名称。
- 其中一个示例是： IP:<IP address>, IP:<IP address>, DNS:example.dell.com

CSR 命令示例：

# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144

生成 CSR 请求后复制该请求，并将其交给客户的证书颁发机构进行签名。该文件位于： /ddvar/certificates/CertificateSigningRequest.csr
CA 会返回 .cer 或 .pem 格式的签名文件。
将签名文件复制到 /ddvar/certficates
按如下所示将文件导入 Data Domain：

#adminaccess certificate import host application https file FILENAME.cer

导入的证书会重新启动 HTTPS 或 HTTP 服务，因此最好先从 UI 注销，然后再执行此命令。

完成后，打开浏览器并检查它是否通过安全警告。

使用以下命令显示新证书：

#adminaccess certificate show

Additional Information

CSR 验证
============
可以在生成 CSR 并将其与 Data Domain 脱离之后对其进行验证。其中一种方法是使用 Windows certutil。
将 CSR 保存在 Windows 系统上，并使用命令提示符运行 certutil -dump <CSR with path>
示例：

这是命令输出的开始，将显示 CSR 中的所有数据。

Affected Products

DD OS

Products

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2

Article Number: 000021466

Article Type: How To

Last Modified: 07 Oct 2025

Version: 11

Check if your device is covered by Support Services.

Data Domain：如何生成证书签名请求并使用外部签名的证书

Summary: 在 Data Domain 上创建证书签名请求（CSR）。

Instructions

Additional Information

Affected Products

Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services

Data Domain：如何生成证书签名请求并使用外部签名的证书

Summary: 在 Data Domain 上创建证书签名请求 （CSR）。

Detailed Article

Instructions

Additional Info

Affected Products

Instructions

Additional Information

Affected Products

Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services

Summary: 在 Data Domain 上创建证书签名请求（CSR）。