Data Domain: 3009 numaralı bağlantı noktasında harici olarak imzalanmış sertifikalar nasıl içe aktarılır?

Summary: 3009 numaralı bağlantı noktasında Harici İmzalı Sertifikaları DDOS sürüm 7.12'den içe aktarma.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Not: Bu KB yalnızca DDOS 7.12 ve daha yeni sürümler için geçerlidir.

Sistem, 3009 ve 3013 numaralı bağlantı noktalarında çalışan aşağıdaki sistem yönetim hizmetleri için içe aktarılan ana bilgisayar ve CA sertifikalarını kullanabilir:

  • DD sistemi ve DDMC arasındaki yönetim iletişimi
  • Çoğaltma
  • HA çiftinin etkin ve beklemedeki düğümleri arasındaki iletişim
  • REST API işleme

Aşağıdaki önkoşullar geçerlidir:

Ana bilgisayar sertifikası önkoşulları:

  • Sistem anahtar parolası DDR/DDVE/DD-HA'da ayarlanmalıdır.
  • Sertifika geçerli olmalıdır (süresi dolmamış veya geçerlilik tarihleri gelecekte olmalıdır)
  • Ana bilgisayar sertifikası:
    • Extended Key Usage kısmına "TLS Web Server Authentication, TLS Web Client Authentication" öğesini ekleyin.
    • x509v3 Temel Kısıtlamaları altında "CA:TRUE" İÇERMEZ.
    • DDR/DDVE Ana Bilgisayar Adını konu satırında Subject-Alternative-Name, common-name veya her ikisinin altına ekleyin.
    • Dahil et (HA varsa)
      • Konu satırında konu-alternatif-adı, ortak-ad veya her ikisi altında HA sistem adı.
      • Bireysel düğümün ana bilgisayar adları, subject-alternative-name altında.
  • Ana bilgisayar sertifikasının "X509v3 uzantıları" altında Yetkili Anahtar Tanımlayıcısı'nı (AKID) içermesi önerilir.
  • Yalnızca BİR ana bilgisayar sertifikası içe aktarılabilir.
  • PowerProtect DD System Manager (UI veya DDSM) için de aynı Ana Bilgisayar sertifikası kullanılabilir.

CA sertifikası önkoşulları:

  • CA sertifikası geçerli olmalıdır (süresi dolmamış veya geçerlilik tarihleri gelecekte olmamalıdır).
  • Bir CA sertifikası olmalıdır; diğer bir ifadeyle, istemci ve sunucu sertifikaları verebilen bir Yetkili olduğunu göstermek için gerekli öznitelikleri içermelidir.
    • x509v3 Temel Kısıtlamalar altındaki "CA:TRUE" gibi.
    • keyUsage altında "keyCertSign" veya
    • Kendinden imzalı (Root-CA varsa bu geçerlidir).
  • Bir CA sertifikası PEM içeriği yapıştırılarak içe aktarılıyorsa, bu durum adminaccess certificate import ca application system-management, yalnızca bir CA sertifikası yapıştırılabilir. Birden fazla sağlanırsa DD işlemi hata ile sonlandırır.
  • CA sertifikası şu şekilde bir dosya kullanılarak içe aktarılıyorsa: adminaccess certificate import ca application system-management file <filename>, dosya birden fazla CA sertifikası içermemelidir. Birden fazla sağlanırsa DD işlemi hata ile sonlandırır.
  • CA sertifikası, Sertifika İptal Listeleri (CRL) verme amacına sahip olmalıdır.
  • Kök-CA sertifikasının x509v3 uzantıları altında Konu Anahtarı Tanımlayıcısı içermesi önerilir. Intermediate-CA sertifikalarının x509 v3 uzantıları altında Subject-Key-Identifier (SKID) ve Authority-Key-Identifier (AKID) içermesi önerilir.

CLI içe aktarma prosedürü:

Sistem yönetimi için PEM dosyasını içe aktarma adımları:

  1. Değerleri gerektiği gibi ayarlayarak DD sisteminde veya Dell APEX Protection Storage örneğinde CSR oluşturun. Varsayılan CSR yeterli değildir.

    NOT: CSR'de bilgileri özelleştirirken anahtar en az 2048 bit uzunluğunda olmalıdır. Genişletilmiş anahtar kullanımı alanına "all" (hem "clientAuth" hem de "serverAuth") ifadesini dahil edin ve konu satırında subject-alternative-name veya common-name altına DD ana bilgisayar adını ekleyin.

    Example:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. CSR yi CA ile imzalayın ve imzalama sırasında subject-alternative-name ögesinin kopyalandığını doğrulayın.

  3. Sertifika Yetkilisinden X.509 PEM biçiminde imzalı sertifikayı alın.

  4. CA sertifikasını X.509 PEM biçiminde alın.

  5. Sertifikaların içeriklerini yapıştırın veya sertifika dosyalarını /ddr/var/certificates/ dizinine kopyalayın.

  6. PEM dosyalarını /ddr/var/certificates/ dizinine kopyalarken:

    1. Her CA sertifika dosyası için aşağıdaki komutu çalıştırın. 
      adminaccess certificate import ca application system-management file <filename>
    2. Ana bilgisayar sertifikasını içe aktarmak için aşağıdaki komutu çalıştırın. 
      adminaccess certificate import host application system-management file <filename>

Sistem yönetimi için PKCS12 dosyasını içe aktarma adımları:

Durum-1: PKCS12 yalnızca şifrelenmiş bir özel anahtar (PBE-SHA1-3DES ile) ve imzalı bir sertifika içerir. CA zinciri dahil değildir.

  1. Özel anahtar ve CSR oluşturmak için gerekli dahili araçları kullanın ve sertifikayı imzalayın.

  2. PKCS12 dosyasını yalnızca ana bilgisayar sertifikası ve ana bilgisayar özel anahtarıyla oluşturun.

    Not: Ana bilgisayar sertifikasını PKCS12 dosyasına düzenleyen CA sertifikalarını dahil etmeyin; bunlar X.509 PEM biçiminde mevcuttur.

  3. PKCS12 dosyasını /ddr/var/certificates/ dizinine kopyalayın.

  4. CA sertifikasını /ddr/var/certificates/ dizinine kopyalayın.

  5. Her CA sertifika dosyası için aşağıdaki komutu çalıştırarak ilk olarak ana bilgisayar sertifikasını veren CA sertifikalarını içe aktarın.

    adminaccess certificate import ca application system-management file <filename>

  6. CA sertifikaları içe aktarıldıktan sonra, aşağıdaki komutu kullanarak PKCS12 deki ana bilgisayar sertifikasını içe aktarın.

    adminaccess certificate import host application system-management file <filename>

Durum-2: PKCS12, şifrelenmiş bir özel anahtar (PBE-SHA1-3DES ile), imzalı sertifika ve CA zinciri içerir.

  1. Özel anahtar ve CSR oluşturmak için gerekli dahili araçları kullanın ve sertifikayı imzalayın.

  2. PKCS12 dosyasını yalnızca ana bilgisayar sertifikası ve ana bilgisayar özel anahtarıyla oluşturun.

    Not: Ana bilgisayar sertifikasını düzenleyen CA sertifikalarını dahil etmeyin; bunlar X.509 PEM biçiminde mevcuttur.  Kök CA'ya kadar olan zincirdeki her CA sertifikası X.509 PEM'de yer alır.

  3. PKCS12 dosyasını /ddr/var/certificates/ dizinine kopyalayın.

  4. Ana bilgisayar sertifikasını içe aktarmak için aşağıdaki komutu çalıştırın.

    adminaccess certificate import host application system-management file <filename>

Sertifikaları kullanıcı arayüzü üzerinden içe aktarmak için aşağıdaki KB makalesine bakın:
Data Domain - HTTP ve HTTPS için ana bilgisayar sertifikalarını yönetme

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.