Data Domain : Comment importer des certificats signés en externe sur le port 3009

Le système peut utiliser les certificats d’hôte et d’autorité de certification importés pour les services de gestion des systèmes suivants s’exécutant sur les ports 3009 et 3013 :

• Communication de gestion entre le système DD et DDMC
• Réplication
• Communication entre les nœuds actifs et en veille d’une paire HA
• Gestion des API REST

Les conditions préalables suivantes s’appliquent :

Conditions préalables pour le certificat hôte :

• La phrase secrète du système doit être définie sur DDR/DDVE/DD-HA.
• Le certificat doit être valide (pas expiré ou avec des dates de validité futures)
• Le certificat d’hôte DOIT :
  • Incluez « Authentification du serveur Web TLS, authentification du client Web TLS » sous Utilisation étendue de la clé.
  • NE contient PAS « CA :TRUE » sous les contraintes de base x509v3.
  • Incluez le nom d’hôte de DDR/DDVE sous Subject-Alternative-Name, common-name ou les deux dans la ligne d’objet.
  • Inclure (s’il y a HA)
    • Nom du système HA sous sujet-nom-alternatif, nom commun ou les deux dans la ligne d’objet.
    • Les noms d’hôte de chaque nœud se trouvent sous subject-alternative-name.
• Il est recommandé d’inclure l’ID de clé d’autorité (AKID) dans le certificat d’hôte sous « extensions X509v3 ».
• Un seul certificat d’hôte peut être importé.
• Le même certificat d’hôte peut être utilisé pour PowerProtect DD System Manager (interface utilisateur ou DDSM).

Conditions préalables au certificat CA :

• Le certificat de l’autorité de certification doit être valide (non expiré ou avec des dates de validité futures).
• Il doit s’agir d’un certificat CA, c’est-à-dire qu’il doit contenir les attributs nécessaires pour indiquer qu’il s’agit d’une autorité qui peut émettre des certificats client et serveur.
  • Comme « CA :TRUE » sous x509v3 Contraintes de base ou.
  • « keyCertSign » sous keyUsage ou
  • Auto-signé (s’il existe Root-CA).
• Si un certificat d’autorité de certification est importé en collant le contenu du module PEM, c’est-à-dire : adminaccess certificate import ca application system-management, un seul certificat d’autorité de certification peut être collé. S’il y en a plusieurs, DD génère une erreur lors de l’opération.
• Si un certificat d’autorité de certification est importé à l’aide d’un fichier, c’est-à-dire : adminaccess certificate import ca application system-management file <filename>, le fichier ne doit pas contenir plus d’un certificat d’autorité de certification. S’il y en a plusieurs, DD génère une erreur lors de l’opération.
• Le certificat CA doit avoir pour objectif d’émettre des listes de révocation de certificats (CRL).
• Il est recommandé que le certificat d’autorité de certification racine contienne l’ID de clé d’objet sous les extensions x509v3. Il est recommandé que les certificats d’autorité de certification intermédiaire contiennent SKID (Subject-Key-Identifier) et AKID (Authority-Key-Identifier) sous les extensions x509 v3.

Procédure d’importation de l’interface de ligne de commande :

Étapes d’importation d’un fichier PEM pour la gestion du système :

1. Générez la CSR sur le système DD ou l’instance Dell APEX Protection Storage en définissant les valeurs selon les besoins. La CSR par défaut n’est pas suffisante.

   Remarque : Lors de la personnalisation des informations dans la CSR, la clé doit comporter au moins 2 048 bits, inclure « all » (« clientAuth » et « serverAuth ») dans Extended-key-usage, et inclure le nom d’hôte DD sous subject-alternative-name ou common-name dans la ligne d’objet.

   Exemple :

   # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
   Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
   With following parameters:
      Key Strength       : 2048
      Country            : US
      State              : California
      City               : Irvine
      Organization Name  : Corp
      Common Name        : abc
      Basic Constraints  :
      Key Usage          :
      Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
      Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

2. Signez la CSR auprès de l’autorité de certification et vérifiez que l’objet-alternative-nom est copié lors de la signature.

3. Procurez-vous le certificat signé au format PEM X.509 auprès de l’autorité de certification.

4. Obtenez le certificat d’autorité de certification au format PEM X.509.

5. Collez le contenu des certificats ou copiez les fichiers de certificat dans /ddr/var/certificates/.

6. Lors de la copie des fichiers PEM dans /ddr/var/certificates/ :

   1. Exécutez la commande ci-dessous pour chaque fichier de certificat d’autorité de certification.

      adminaccess certificate import ca application system-management file <filename>

   2. Exécutez la commande ci-dessous pour importer le certificat d’hôte.

      adminaccess certificate import host application system-management file <filename>

Étapes d’importation du fichier PKCS12 pour la gestion du système :

Cas 1 : PKCS12 ne contient qu’une clé privée chiffrée (avec PBE-SHA1-3DES) et un certificat signé. La chaîne CA n’est pas incluse.

1. Utilisez les outils internes requis pour générer une clé privée et une CSR, puis signez le certificat.

2. Générez le fichier PKCS12 avec uniquement le certificat d’hôte et la clé privée de l’hôte.

   Remarque : N’incluez aucun certificat d’autorité de certification qui a émis le certificat d’hôte dans le fichier PKCS12, ceux-ci sont disponibles au format PEM X.509.

3. Copiez le fichier PKCS12 dans /ddr/var/certificates/.

4. Copiez le certificat d’autorité de certification dans /ddr/var/certificates/.

5. Importez le ou les certificats d’autorité de certification qui ont émis le certificat d’hôte en premier en exécutant la commande ci-dessous pour chaque fichier de certificat d’autorité de certification.

   adminaccess certificate import ca application system-management file <filename>

6. Une fois les certificats d’autorité de certification importés, importez le certificat d’hôte dans PKCS12 à l’aide de la commande ci-dessous.

   adminaccess certificate import host application system-management file <filename>

Cas 2 : PKCS12 contient une clé privée chiffrée (avec PBE-SHA1-3DES), un certificat signé et une chaîne d’autorité de certification.

1. Utilisez les outils internes requis pour générer une clé privée et une CSR, puis signez le certificat.

2. Générez le fichier PKCS12 avec uniquement le certificat d’hôte et la clé privée de l’hôte.

   Remarque : N’incluez aucun certificat d’autorité de certification qui a émis le certificat d’hôte, ceux-ci sont disponibles au format PEM X.509.  Chaque certificat d’autorité de certification de la chaîne allant jusqu’à l’autorité de certification racine se trouve dans le module PEM X.509.

3. Copiez le fichier PKCS12 dans /ddr/var/certificates/.

4. Exécutez la commande ci-dessous pour importer le certificat d’hôte.

   adminaccess certificate import host application system-management file <filename>

Reportez-vous à l’article de la base de connaissances ci-dessous pour importer les certificats via l’interface utilisateur :
Data Domain - Gestion des certificats d’hôte pour HTTP et HTTPS