Data Domain: Jak importovat externě podepsané certifikáty na port 3009

Summary: Jak importovat externě podepsané certifikáty na port 3009 ze systému DDOS verze 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Poznámka: Tento článek znalostní databáze se vztahuje pouze na systémy DDOS 7.12 a novější.

Systém může použít importované certifikáty hostitele a certifikační autority pro následující služby správy systému spuštěné na portech 3009 a 3013:

  • Komunikace správy mezi systémem DD a systémem DDMC
  • Replikace
  • Komunikace mezi aktivním a pohotovostním uzlem páru HA
  • Zpracování rozhraní REST API

Platí následující předpoklady:

Požadavky na hostitelský certifikát:

  • Systémové heslo musí být nastaveno v režimu DDR/DDVE/DD-HA.
  • Certifikát musí být platný (nesmí vypršet nebo musí být s datem platnosti v budoucnosti)
  • Hostitelský certifikát by měl:
    • V části Rozšířené používání klíče zahrňte "TLS Web Server Authentication, TLS Web Client Authentication".
    • Neobsahují "CA:TRUE" v rámci základních omezení x509v3.
    • Do řádku předmětu uveďte název hostitele DDR/DDVE v části Subject-Alternative-Name, common-name nebo obojí.
    • Zahrnout (pokud existuje vysoká dostupnost)
      • Název systému HA v části subject-alternative-name, common-name nebo obojí v řádku předmětu.
      • Názvy hostitelů jednotlivých uzlů pod názvem subject-alternative-name.
  • Doporučuje se zahrnout identifikátor klíče autority (AKID) do části "Rozšíření X509v3".
  • Lze importovat pouze JEDEN hostitelský certifikát.
  • Stejný hostitelský certifikát lze použít pro nástroj PowerProtect DD System Manager (uživatelské rozhraní nebo DDSM).

Požadavky na certifikát CA:

  • Certifikát CA musí být platný (nesmí vypršet nebo musí být s datem platnosti v budoucnosti).
  • Mělo by se jednat o certifikát certifikační autority, to znamená, že by měl obsahovat potřebné atributy, které označují, že se jedná o autoritu, která může vydávat certifikáty klientů a serverů.
    • Jako "CA:TRUE" v rámci základních omezení x509v3 nebo.
    • "keyCertSign" v části keyUsage nebo
    • Podepsaný držitelem (to znamená, pokud existuje kořenová certifikační autorita).
  • Pokud je certifikát certifikační autority importován vložením obsahu PEM, tj. adminaccess certificate import ca application system-management, lze vložit pouze jeden certifikát CA. Pokud je k dispozici více možností, DD provede operaci chybou.
  • Pokud je certifikát certifikační autority importován pomocí souboru, který je adminaccess certificate import ca application system-management file <filename>, soubor by neměl obsahovat více než jeden certifikát certifikační autority. Pokud je k dispozici více možností, DD provede operaci chybou.
  • Certifikát certifikační autority by měl sloužit k vydávání seznamů odvolaných certifikátů (CRL).
  • Certifikát kořenové certifikační autority by měl obsahovat identifikátor klíče subjektu pod příponami x509v3. Certifikáty zprostředkující certifikační autority se doporučují obsahovat identifikátory SCID (Subject-Key-Identifier) a AKID (Authority-Key-Identifier) v rámci rozšíření x509 v3.

Postup importu z CLI:

Postup importu souboru PEM pro správu systému:

  1. Vygenerujte CSR v systému DD nebo instanci Dell APEX Protection Storage a nastavte hodnoty podle potřeby. Výchozí CSR není dostačující.

    POZNÁMKA: Při přizpůsobování informací v požadavku CSR musí být klíč dlouhý alespoň 2 048 bitů, do pole Extended-key-usage zahrňte "all" (clientAuth i "serverAuth") a do řádku předmětu zahrňte název hostitele DD v části subject-alternative-name nebo common-name.

    Příklad:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Podepište CSR s certifikační autoritou a ověřte, zda je během podepisování zkopírován alternativní název subjektu.

  3. Získejte od certifikační autority podepsaný certifikát ve formátu X.509 PEM.

  4. Získejte certifikát certifikační autority ve formátu X.509 PEM.

  5. Vložte obsah certifikátů nebo zkopírujte soubory certifikátů do složky /ddr/var/certificates/.

  6. Při kopírování souborů PEM do umístění /ddr/var/certificates/:

    1. Pro každý soubor certifikátu certifikační autority spusťte následující příkazy. 
      adminaccess certificate import ca application system-management file <filename>
    2. Spuštěním níže uvedených příkazů naimportujte hostitelský certifikát. 
      adminaccess certificate import host application system-management file <filename>

Postup importu souboru PKCS12 pro správu systému:

Případ 1: PKCS12 obsahuje pouze šifrovaný soukromý klíč (pomocí PBE-SHA1-3DES) a podepsaný certifikát. Řetězec CA není součástí.

  1. Pomocí požadovaných interních nástrojů vygenerujte soukromý klíč a požadavek CSR a podepište certifikát.

  2. Vygenerujte soubor PKCS12 pouze s certifikátem hostitele a soukromým klíčem hostitele.

    Poznámka: Do souboru PKCS12 nezahrnujte žádné certifikáty certifikační autority, které vydaly certifikát hostitele, ty jsou k dispozici ve formátu X.509 PEM.

  3. Zkopírujte soubor PKCS12 do umístění /ddr/var/certificates/.

  4. Zkopírujte certifikát certifikační autority do umístění /ddr/var/certificates/.

  5. Nejprve importujte certifikáty certifikační autority, které vydaly certifikát hostitele, spuštěním níže uvedených příkazů pro každý soubor certifikátu certifikační autority.

    adminaccess certificate import ca application system-management file <filename>

  6. Po importu certifikátů CA importujte certifikát hostitele do PKCS12 pomocí následujícího příkazu.

    adminaccess certificate import host application system-management file <filename>

Případ 2: PKCS12 obsahuje šifrovaný soukromý klíč (s PBE-SHA1-3DES), podepsaný certifikát a řetězec CA.

  1. Pomocí požadovaných interních nástrojů vygenerujte soukromý klíč a požadavek CSR a podepište certifikát.

  2. Vygenerujte soubor PKCS12 pouze s certifikátem hostitele a soukromým klíčem hostitele.

    Poznámka: Nezahrnujte žádné certifikáty certifikační autority, které vystavily certifikát hostitele, ty jsou k dispozici ve formátu X.509 PEM.  Každý certifikát certifikační autority v řetězci až po kořenovou certifikační autoritu je v X.509 PEM.

  3. Zkopírujte soubor PKCS12 do umístění /ddr/var/certificates/.

  4. Spuštěním níže uvedených příkazů naimportujte hostitelský certifikát.

    adminaccess certificate import host application system-management file <filename>

Import certifikátů přes uživatelské rozhraní naleznete v následujícím článku znalostní databáze:
Data Domain – Správa certifikátů hostitele pro protokoly HTTP a HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.