Data Domain:如何在連接埠 3009 匯入外部簽署憑證
Summary: 如何從 DDOS 版本 7.12 在連接埠 3009 匯入外部簽署憑證。
Instructions
系統可以將匯入的主機和 CA 憑證用於在連接埠 3009 和 3013 上執行的下列系統管理服務:
- DD 系統與 DDMC 之間的管理通訊
- 複寫
- HA 對的使用中和備用節點之間的通訊
- REST API 處理
下列先決條件適用:
主機憑證先決條件:
- 必須在 DDR/DDVE/DD-HA 上設定系統密碼片語。
- 憑證必須有效(未過期或將來有有效期)
- 主機憑證應:
- 在「延伸金鑰用法」下包括「TLS Web 伺服器身份驗證、TLS Web 用戶端身份驗證」。
- 在 x509v3 基本約束下不包含「CA:TRUE」。
- 在主旨行中,將 DDR/DDVE 的主機名稱包含在主旨-替代名稱、通用名稱或兩者底下。
- 包括 (如果有 HA)
- 使用者替代名稱、公用名稱下的 HA 系統名稱,或兩者皆在消費者行中。
- 主體替代名稱下的個別節點主機名稱。
- 建議主機憑證在「X509v3 延伸」下包含授權單位金鑰識別碼 (AKID)。
- 僅能匯入一個主機憑證。
- 相同的主機憑證可用於 PowerProtect DD System Manager (UI 或 DDSM)。
CA 憑證先決條件:
- CA 證書必須有效(未過期或將來有有效期)。
- 它應該是一個 CA 證書,也就是說,它應包含必要的屬性,以指示它是可以頒發用戶端和伺服器證書的頒發機構。
- 例如 x509v3 基本約束下的「CA:TRUE」或。
- 「keyCertSign」底下的「keyCertSign」或
- 自我簽署 (這是如果有 Root-CA 的情況)。
- 如果透過貼上 PEM 內容匯入 CA 憑證,也就是
adminaccess certificate import ca application system-management,只能粘貼一個 CA 證書。如果提供多個,DD 會使作業失敗。 - 如果匯入 CA 憑證時使用的檔案是
adminaccess certificate import ca application system-management file <filename>,該檔不應包含多個 CA 證書。如果提供多個,DD 會使作業失敗。 - CA 憑證應具有頒發證書吊銷清單 (CRL) 的目的。
- 建議根 CA 憑證在 x509v3 延伸模組下包含消費者金鑰識別碼。建議在 x509 v3 擴展下包含主題金鑰識別碼 (SKID) 和頒發機構金鑰識別碼 (AKID) 的中間 CA 證書。
CLI 匯入程序:
匯入 PEM 檔案以進行系統管理的步驟:
-
在 DD 系統或 Dell APEX Protection Storage 例項上產生 CSR,並視需要設定值。預設的 CSR 不足。
注意:在 CSR 中自訂資訊時,金鑰長度必須至少為 2048 位元,在延伸金鑰用法中包括「所有」(「clientAuth」和「serverAuth」),並在主旨行的主體替代名稱或公用名稱下包含 DD 主機名稱。範例:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : California City : Irvine Organization Name : Corp Common Name : abc Basic Constraints : Key Usage : Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication Subject Alt Name : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x
-
使用 CA 簽署 CSR,並驗證在簽名期間是否複製了主體替代名稱。
-
從認證機構取得 X.509 PEM 格式的已簽署憑證。
-
取得 X.509 PEM 格式的 CA 憑證。
-
貼上憑證的內容,或將憑證檔案複製到 /ddr/var/certificates/。
-
將 PEM 檔案複製到 /ddr/var/certificates/ 時:
- 針對每個 CA 憑證檔案執行以下命令。
adminaccess certificate import ca application system-management file <filename>
- 執行以下命令以匯入主機憑證。
adminaccess certificate import host application system-management file <filename>
- 針對每個 CA 憑證檔案執行以下命令。
匯入 PKCS12 檔案以進行系統管理的步驟:
案例 1:PKCS12 僅包含加密的私密金鑰 (使用 PBE-SHA1-3DES) 和簽署憑證。不包括 CA 鏈。
-
使用所需的內部工具產生私密金鑰和 CSR,並簽署憑證。
-
只產生只包含主機憑證和主機私密金鑰的 PKCS12 檔案。
注意:請勿在 PKCS12 檔案中包含任何發出主機憑證的 CA 憑證,這些憑證會以 X.509 PEM 格式提供。 -
將 PKCS12 檔案複製到 /ddr/var/certificates/。
-
將 CA 憑證複製到 /ddr/var/certificates/。
-
通過為每個 CA 證書檔運行以下命令,首先導入頒發主機證書的 CA 證書。
adminaccess certificate import ca application system-management file <filename>
-
匯入 CA 憑證後,請使用以下命令,在 PKCS12 中匯入主機憑證。
adminaccess certificate import host application system-management file <filename>
案例2:PKCS12 包含加密的私密金鑰 (使用 PBE-SHA1-3DES)、簽署的憑證和 CA 鏈。
-
使用所需的內部工具產生私密金鑰和 CSR,並簽署憑證。
-
只產生只包含主機憑證和主機私密金鑰的 PKCS12 檔案。
注意:不要包含任何頒發主機證書的 CA 證書,這些證書以 X.509 PEM 格式提供。 鏈結中的每個 CA 證書都位於 X.509 PEM 中。 -
將 PKCS12 檔案複製到 /ddr/var/certificates/。
-
執行以下命令以匯入主機憑證。
adminaccess certificate import host application system-management file <filename>
請參閱以下 KB 文章,以透過 UI 匯入憑證:
Data Domain - 管理 HTTP 和 HTTPS 的主機憑證