Data Domain: Managen von Hostzertifikaten für HTTP und HTTPS
Summary: Mit Hostzertifikaten können Browser und Anwendungen die Identität eines Data Domain-Systems beim Einrichten sicherer Managementsitzungen überprüfen. HTTPS ist standardmäßig aktiviert. Das System kann entweder ein selbstsigniertes Zertifikat oder ein importiertes Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) verwenden. In diesem Artikel wird erläutert, wie Sie Zertifikate für HTTP/HTTPS auf Data Domain-Systemen prüfen, erzeugen, anfordern, importieren und löschen. ...
Instructions
Zertifikate können ablaufen oder ungültig werden. Wenn kein Zertifikat importiert wird, verwendet das System ein selbstsigniertes Zertifikat, dem Browser oder integrierte Anwendungen möglicherweise nicht vertrauen.
- Überprüfen Sie vorhandene Zertifikate.
Führen Sie auf Data Domain (DD-CLI) den folgenden Befehl aus, um installierte Zertifikate anzuzeigen:
adminaccess certificate show
Wenn Zertifikate abgelaufen sind oder kurz vor dem Ablauf stehen:
- Bei Selbstsignierung mit DD-CLI neu generieren
- Befolgen Sie beim Import die folgenden CSR- und Importschritte.
- Erstellen von selbstsignierten Zertifikaten.
So erzeugen Sie das HTTPS-Zertifikat neu:
adminaccess certificate generate self-signed-cert
So erzeugen Sie HTTPS und vertrauenswürdige CA-Zertifikate erneut:
adminaccess certificate generate self-signed-cert regenerate-ca
- Zertifikatsignierungsanforderung (CSR) erstellen
Verwenden Sie DD System Manager:
- Legen Sie eine Passphrase fest, falls diese noch nicht geschehen ist:
system passphrase set
- Navigieren Sie zu Administration > Access > Administrator Access.
- Wählen Sie HTTPS > Configure > Certificate Registerkarte > Add aus.
- Klicken Sie auf Generate the CSR for this Data Domain system.
- Füllen Sie das CSR-Formular aus und laden Sie die Datei herunter unter:
/ddvar/certificates/CertificateSigningRequest.csr
Beispiel für eine CLI-Alternative:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Signiertes Zertifikat importieren
Verwenden Sie DD System Manager:
- Wählen Sie Administration > Access > AAdministratorzugriff
- Wählen Sie im Bereich Services die Option HTTPS aus und klicken Sie auf Configure
- Wählen Sie die Registerkarte Certificate aus
- Klicken Sie auf Hinzufügen. Ein Dialogfeld zum Hochladen wird angezeigt:
- Für
.p12-Datei zu senden:- Wählen Sie Zertifikat hochladen als
.p12Datei, Kennwort eingeben, navigieren und hochladen. - Beispiel für
.p12Auswahl:
- Wählen Sie Zertifikat hochladen als
- Für
.pem-Datei zu senden:- Wählen Sie Öffentlichen Schlüssel hochladen als
.pemDateien speichern und generierten privaten Schlüssel verwenden, durchsuchen und hochladen.
- Wählen Sie Öffentlichen Schlüssel hochladen als
DD CLI-Alternative: Lesen Sie den Artikel Data Domain: So erzeugen Sie eine Zertifikatsignieranforderung und verwenden extern signierte Zertifikate
- Vorhandenes Zertifikat löschen.
Bevor Sie ein neues Zertifikat hinzufügen, löschen Sie das aktuelle Zertifikat:
-
- Navigieren Sie zur Registerkarte Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
- Wählen Sie das Zertifikat aus und klicken Sie auf Delete.
- CSR-Validierung
Validieren der CSR mithilfe der Windows-Eingabeaufforderung:
certutil -dump <CSR file path>
- Troubleshooting: Browser zeigt nach dem Import des von der Zertifizierungsstelle signierten Zertifikats "Zertifikat nicht vertrauenswürdig" an
Wenn der Browser nach dem Importieren eines von einer Zertifizierungsstelle signierten Zertifikats die Warnung "Zertifikat nicht vertrauenswürdig" oder "Verbindung ist nicht sicher" anzeigt, fehlen in der importierten PEM- oder P12-Datei möglicherweise ein oder mehrere CA-Zwischenzertifikate in der Zertifikatskette.
Ursache: Wenn die importierte Datei nur das Leaf-Zertifikat (Serverzertifikat) ohne das/die Zwischenzertifikat(e) der CA enthält, bedient die Data Domain eine unvollständige Zertifikatkette. Einige Desktop-Browser können fehlende Zwischenprodukte automatisch abrufen, aber mobile Geräte, Überwachungssysteme und DD-zu-DD-Vertrauensvorgänge schlagen fehl.
Überprüfen Sie die Zertifikatkette:
Überprüfen Sie auf einer Workstation, auf der OpenSSL installiert ist, die PEM-Datei vor dem Import:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Dieser Befehl listet alle Zertifikate in der Datei auf. Eine vollständige Kette sollte Folgendes umfassen:
- Das Leaf-Zertifikat (Server) (Betreff-CN, der mit dem DD-Hostnamen/FQDN übereinstimmt)
- Ein oder mehrere CA-Zwischenzertifikate
- Optional das Stammzertifikat der Zertifizierungsstelle
Wenn nur das untergeordnete Zertifikat vorhanden ist, ist die Kette unvollständig.
Lösung:
-
Rufen Sie das/die CA-Zwischenzertifikat(e) vom Team der Zertifizierungsstelle des Unternehmens ab.
-
Verketten Sie die Zertifikate in einer einzigen PEM-Datei in der folgenden Reihenfolge:
- Untergeordnetes Zertifikat (zuerst)
- CA-Zwischenzertifikat(e) (in Reihenfolge)
- Root-CA-Zertifikat (letztes, optional)
-
Löschen Sie das aktuell importierte Zertifikat aus der Data Domain:
adminaccess certificate delete imported-host application https -
Importieren Sie die rekonstruierte PEM-Datei, die die gesamte Kette enthält, mithilfe der GUI- oder CLI-Verfahren in Abschnitt 4 oben.
Additional Information
- Private und öffentliche Schlüssel müssen 2048 Bit sein.
- DDOS unterstützt nur aktive CSR und ein signiertes Zertifikat für HTTPS gleichzeitig.
Referenz: Wissensdatenbank-Artikel zur Bereitstellung: Data Domain: Verwendung extern signierter Zertifikate