Data Domain. Импорт сертификатов, подписанных извне, через порт 3009

Summary: Импорт сертификатов с внешней подписью на порт 3009 из DDOS версии 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Примечание. Эта статья базы знаний относится только к DDOS 7.12 и более поздним версиям.

Система может использовать импортированные сертификаты хоста и ЦС для следующих служб управления системой, работающих на портах 3009 и 3013:

  • Обмен данными между системой DD и DDMC для управления
  • Репликация
  • Обмен данными между активным и резервным узлами пары HA
  • С помощью REST API

Должны выполняться следующие требования:

Необходимые условия для сертификата хоста:

  • Фраза-пароль системы должна быть установлена на DDR/DDVE/DD-HA.
  • Сертификат должен быть действительным (не просроченным или со сроками действия в будущем)
  • Сертификат хоста ДОЛЖЕН:
    • Включите «TLS Web Server Authentication, TLS Web Client Authentication» в разделе «Extended Key Usage».
    • НЕ содержит "CA:TRUE" в базовых ограничениях x509v3.
    • Укажите имя хоста DDR/DDVE в разделе Subject-Alternative-Name, common-name или оба параметра в строке темы.
    • Include (при наличии высокой доступности)
      • Высокодоступное системное имя в разделе subject-alternative-name, common-name или и то, и другое в строке темы.
      • Имена хостов отдельных узлов в разделе subject-alternative-name.
  • Сертификат хоста рекомендуется включать идентификатор ключа источника (AKID) в разделе «X509v3 extensions».
  • Можно импортировать только ОДИН сертификат хоста.
  • Тот же сертификат хоста можно использовать для PowerProtect DD System Manager (UI или DDSM).

Предварительные требования для сертификата CA:

  • Сертификат центра сертификации должен быть действительным (срок его действия не истек и срок его действия не должен быть указан в будущем).
  • Это должен быть сертификат центра сертификации, т. е. он должен содержать атрибуты, необходимые для указания на то, что это центр сертификации, который может выдавать сертификаты клиента и сервера.
    • Например, «CA:TRUE» в разделе x509v3 «Основные ограничения» или.
    • "keyCertSign" в keyUsage или
    • Самозаверяющий (при наличии корневого источника сертификатов).
  • Если сертификат источника сертификатов импортируется путем вставки содержимого PEM, то adminaccess certificate import ca application system-managementможно вставить только один сертификат источника сертификатов. Если указано несколько, DD выдаст операцию с ошибкой.
  • Если сертификат источника сертификатов импортируется с помощью файла, adminaccess certificate import ca application system-management file <filename>файл не должен содержать более одного сертификата источника сертификатов. Если указано несколько, DD выдаст операцию с ошибкой.
  • Сертификат центра сертификации должен иметь целью создания списков отзыва сертификатов (CRL).
  • Рекомендуется использовать сертификат Root-CA, содержащий идентификатор ключа субъекта с расширениями x509v3. Рекомендуется использовать сертификат(ы) промежуточного CA, содержащие Subject-Key-Identifier (SKID) и Authority-Key-Identifier (AKID) с расширениями x509 v3.

Процедура импорта CLI:

Шаги по импорту файла PEM для управления системой:

  1. Создайте CSR в системе DD или экземпляре Dell APEX Protection Storage, задав необходимые значения. CSR по умолчанию недостаточен.

    ПРИМЕЧАНИЕ. При настройке информации в CSR ключ должен иметь длину не менее 2048 бит, включать "all" (как "clientAuth", так и "serverAuth") в Extended-key-usage и включать имя хоста DD в subject-alternative-name или common-name в строке темы.

    Пример.

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Подпишите запрос подписи сертификата в CA и убедитесь, что альтернативное имя субъекта скопировано во время подписания.

  3. Получите подписанный сертификат в формате X.509 PEM от источника сертификатов.

  4. Получите сертификат CA в формате X.509 PEM.

  5. Вставьте содержимое сертификатов или скопируйте файлы сертификатов в папку /ddr/var/certificates/.

  6. При копировании файлов PEM в папку /ddr/var/certificates/:

    1. Выполните приведенную ниже команду для каждого файла сертификата источника сертификатов. 
      adminaccess certificate import ca application system-management file <filename>
    2. Выполните следующую команду, чтобы импортировать сертификат хоста. 
      adminaccess certificate import host application system-management file <filename>

Шаги по импорту файла PKCS12 для управления системой:

Кейс-1: PKCS12 содержит только зашифрованный закрытый ключ (с PBE-SHA1-3DES) и подписанный сертификат. Цепочка CA не включена.

  1. Используйте необходимые внутренние инструменты для создания закрытого ключа и CSR и подписания сертификата.

  2. Создайте файл PKCS12, содержащий только сертификат хоста и закрытый ключ хоста.

    Примечание. Не включайте в файл PKCS12 сертификаты ЦС, которые выдали сертификат хоста, доступные в формате X.509 PEM.

  3. Скопируйте файл PKCS12 в папку /ddr/var/certificates/.

  4. Скопируйте сертификат источника сертификатов в папку /ddr/var/certificates/.

  5. Сначала импортируйте сертификат(ы) источника сертификатов, выдавших сертификат хоста, выполнив приведенную ниже команду для каждого файла сертификата источника сертификатов.

    adminaccess certificate import ca application system-management file <filename>

  6. После импорта сертификатов ЦС импортируйте сертификат хоста в PKCS12 с помощью следующей команды.

    adminaccess certificate import host application system-management file <filename>

Кейс-2: PKCS12 содержит зашифрованный закрытый ключ (с PBE-SHA1-3DES), подписанный сертификат и цепочку CA.

  1. Используйте необходимые внутренние инструменты для создания закрытого ключа и CSR и подписания сертификата.

  2. Создайте файл PKCS12, содержащий только сертификат хоста и закрытый ключ хоста.

    Примечание. Не включайте сертификаты ЦС, которые выдали сертификат хоста; эти сертификаты доступны в формате X.509 PEM.  Каждый сертификат источника сертификатов в цепочке, вплоть до корневого источника сертификатов, находится в модуле PEM X.509.

  3. Скопируйте файл PKCS12 в папку /ddr/var/certificates/.

  4. Выполните следующую команду, чтобы импортировать сертификат хоста.

    adminaccess certificate import host application system-management file <filename>

См. статью базы знаний ниже для импорта сертификатов через UI:
Data Domain — управление сертификатами хостов для HTTP и HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.