Data Domain: 포트 3009에서 외부에서 서명된 인증서를 가져오는 방법

Summary: DDOS 버전 7.12에서 포트 3009를 통해 외부에서 서명된 인증서를 가져오는 방법

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

참고: 이 KB는 DDOS 7.12 이상에만 적용됩니다.

시스템은 포트 3009 및 3013에서 실행되는 다음 시스템 관리 서비스에 가져온 호스트 및 CA 인증서를 사용할 수 있습니다.

  • DD 시스템과 DDMC 간의 관리 통신
  • 복제
  • HA 쌍의 활성 노드와 대기 노드 간의 통신
  • REST API 처리

다음과 같은 사전 요구 사항이 적용됩니다.

호스트 인증서 사전 요구 사항:

  • 시스템 암호문구는 DDR/DDVE/DD-HA에서 설정해야 합니다.
  • 인증서는 유효해야 합니다(만료되지 않았거나 유효 날짜가 미래에 존재하지 않아야 함).
  • 호스트 인증서는 다음을 수행해야 합니다.
    • 확장 키 사용 아래에 "TLS 웹 서버 인증, TLS 웹 클라이언트 인증"을 포함합니다.
    • x509v3 기본 제약 조건에서 "CA:TRUE"를 포함하지 않습니다.
    • 제목 줄의 Subject-Alternative-Name, 일반 이름 또는 둘 다에 DDR/DDVE의 호스트 이름을 포함합니다.
    • 포함(HA가 있는 경우)
      • 제목 줄에서 subject-alternative-name, 일반 이름 또는 둘 다의 HA 시스템 이름입니다.
      • subject-alternative-name 아래에 있는 개별 노드의 호스트 이름입니다.
  • 호스트 인증서는 "X509v3 확장" 아래에 AKID(기관 키 식별자)를 포함하는 것이 좋습니다.
  • 하나의 호스트 인증서만 가져올 수 있습니다.
  • PowerProtect DD System Manager(UI 또는 DDSM)에 동일한 호스트 인증서를 사용할 수 있습니다.

CA 인증서 사전 요구 사항:

  • CA 인증서는 유효해야 합니다(만료되지 않았거나 유효 날짜가 미래에 존재하지 않아야 함).
  • CA 인증서여야 합니다. 즉, 클라이언트 및 서버 인증서를 발급할 수 있는 기관임을 나타내는 데 필요한 특성이 포함되어야 합니다.
    • x509v3 기본 제한에서 "CA : TRUE"와 같거나.
    • keyUsage 아래의 "keyCertSign" 또는
    • 자체 서명(Root-CA가 있는 경우)
  • PEM 콘텐츠를 붙여넣어 CA 인증서를 가져오는 경우, 즉 adminaccess certificate import ca application system-management, 하나의 CA 인증서만 붙여넣을 수 있습니다. 여러 개가 제공되면 DD가 작업에서 오류를 발생시킵니다.
  • 다음과 같은 파일을 사용하여 CA 인증서를 가져오는 경우 adminaccess certificate import ca application system-management file <filename>, 파일에 둘 이상의 CA 인증서가 포함되어서는 안 됩니다. 여러 개가 제공되면 DD가 작업에서 오류를 발생시킵니다.
  • CA 인증서는 CRL(Certificate Revocation List)을 발급할 목적이 있어야 합니다.
  • 루트 CA 인증서는 x509v3 확장에서 주체 키 식별자를 포함하는 것이 좋습니다. 중간 CA 인증서는 x509 v3 확장에 SKID(Subject-Key-Identifier) 및 AKID(Authority-Key-Identifier)를 포함하는 것이 좋습니다.

CLI 가져오기 절차:

시스템 관리를 위해 PEM 파일을 가져오는 단계:

  1. 필요에 따라 값을 설정하여 DD 시스템 또는 Dell APEX Protection Storage 인스턴스에서 CSR을 생성합니다. 기본 CSR로는 충분하지 않습니다.

    참고: CSR의 정보를 맞춤 구성할 때 키 길이는 2048비트 이상이어야 하고, 확장 키 사용에 "all"("clientAuth" 및 "serverAuth" 모두)을 포함하고, 제목 줄의 subject-alternative-name 또는 common-name 아래에 DD 호스트 이름을 포함해야 합니다.

    예:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. CA로 CSR에 서명하고 서명 중에 subject-alternative-name이 복사되었는지 확인합니다.

  3. 인증 기관에서 X.509 PEM 형식의 서명된 인증서를 가져옵니다.

  4. X.509 PEM 형식으로 CA 인증서를 가져옵니다.

  5. 인증서의 내용을 붙여 넣거나 인증서 파일을 /ddr/var/certificates/에 복사합니다.

  6. PEM 파일을 /ddr/var/certificates/에 복사하는 경우:

    1. 각 CA 인증서 파일에 대해 아래 명령을 실행합니다. 
      adminaccess certificate import ca application system-management file <filename>
    2. 아래 명령을 실행하여 호스트 인증서를 가져옵니다. 
      adminaccess certificate import host application system-management file <filename>

시스템 관리를 위해 PKCS12 파일을 가져오는 단계:

사례 -1 : PKCS12에는 암호화된 개인 키(PBE-SHA1-3DES 포함)와 서명된 인증서만 포함되어 있습니다. CA 체인은 포함되어 있지 않습니다.

  1. 필요한 내부 툴을 사용하여 개인 키 및 CSR을 생성하고 인증서에 서명합니다.

  2. 호스트 인증서 및 호스트 개인 키만 사용하여 PKCS12 파일을 생성합니다.

    참고: X.509 PEM 형식으로 사용할 수 있는 PKCS12 파일에서 호스트 인증서를 발급한 CA 인증서는 포함하지 마십시오.

  3. PKCS12 파일을 /ddr/var/certificates/에 복사합니다.

  4. CA 인증서를 /ddr/var/certificates/에 복사합니다.

  5. 각 CA 인증서 파일에 대해 아래 명령을 실행하여 호스트 인증서를 먼저 발급한 CA 인증서를 가져옵니다.

    adminaccess certificate import ca application system-management file <filename>

  6. CA 인증서를 가져오면 아래 명령을 사용하여 PKCS12에서 호스트 인증서를 가져옵니다.

    adminaccess certificate import host application system-management file <filename>

사례 -2 : PKCS12에는 암호화된 개인 키(PBE-SHA1-3DES 포함), 서명된 인증서 및 CA 체인이 포함되어 있습니다.

  1. 필요한 내부 툴을 사용하여 개인 키 및 CSR을 생성하고 인증서에 서명합니다.

  2. 호스트 인증서 및 호스트 개인 키만 사용하여 PKCS12 파일을 생성합니다.

    참고: 호스트 인증서를 발급한 CA 인증서는 포함하지 마십시오. X.509 PEM 형식으로 사용할 수 있습니다.  Root-CA까지 체인의 각 CA 인증서는 X.509 PEM에 있습니다.

  3. PKCS12 파일을 /ddr/var/certificates/에 복사합니다.

  4. 아래 명령을 실행하여 호스트 인증서를 가져옵니다.

    adminaccess certificate import host application system-management file <filename>

UI를 통해 인증서를 가져오려면 아래 KB 문서를 참조하십시오.
Data Domain - HTTP 및 HTTPS의 호스트 인증서 관리

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.