Data Domain: Sådan importeres eksternt signerede certifikater på port 3009

Summary: Sådan importeres eksternt signerede certifikater på port 3009 fra DDOS version 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Bemærk: Denne KB gælder kun for DDOS 7.12 og nyere.

Systemet kan bruge importerede værts- og CA-certifikater til følgende systemadministrationstjenester, der kører på port 3009 og 3013:

  • Administrationskommunikation mellem DD-systemet og DDMC
  • Replikering
  • Kommunikation mellem de aktive noder og standbynoderne i et HA-par
  • REST API-håndtering

Følgende forudsætninger gælder:

Forudsætninger for værtscertifikat:

  • Systemadgangsudtryk skal indstilles på DDR/DDVE/DD-HA.
  • Certifikatet skal være gyldigt (ikke udløbet eller med gyldighedsdatoer i fremtiden)
  • Værtscertifikatet BØR:
    • Medtag "TLS-webservergodkendelse, TLS-webklientgodkendelse" under Udvidet nøglebrug.
    • Indeholder IKKE "CA:TRUE" under x509v3 Grundlæggende begrænsninger.
    • Medtag værtsnavnet DDR/DDVE under Emne-alternativ-navn, almindeligt navn eller begge dele i emnelinjen.
    • Medtag (hvis der er HA)
      • HA-systemnavn under emne-alternativ-navn, fællesnavn eller begge dele i emnelinjen.
      • Den enkelte nodes værtsnavne under emne-alternativ-navn.
  • Det anbefales, at værtscertifikatet indeholder AKID (Authority Key Identifier) under "X509v3-udvidelser".
  • Kun ÉT værtscertifikat kan importeres.
  • Det samme værtscertifikat kan bruges til PowerProtect DD System Manager (UI eller DDSM).

Forudsætninger for CA-certifikat:

  • CA-certifikatet skal være gyldigt (ikke udløbet eller med gyldighedsdatoer i fremtiden).
  • Det skal være et CA-certifikat, det vil sige, det skal indeholde de nødvendige attributter for at angive, at det er en myndighed, der kan udstede klient- og servercertifikater.
    • Ligesom "CA:TRUE" under x509v3 Grundlæggende begrænsninger eller.
    • "keyCertSign" under keyUsage eller
    • Selvsigneret (dette er, hvis der er Root-CA).
  • Hvis et CA-certifikat importeres ved at indsætte PEM-indhold, dvs. adminaccess certificate import ca application system-management, kan der kun indsættes ét CA-certifikat. Hvis der angives flere, vil DD fejlteste handlingen.
  • Hvis et CA-certifikat importeres ved hjælp af en fil, der er, adminaccess certificate import ca application system-management file <filename>, må filen ikke indeholde mere end ét CA-certifikat. Hvis der angives flere, vil DD fejlteste handlingen.
  • CA-certifikatet skal have til formål at udstede lister over tilbagekaldte certifikater (CRL).
  • Det anbefales, at Root-CA-certifikatet indeholder Subject Key Identifier under x509v3-udvidelser. Det anbefales, at mellemliggende CA-certifikat(er) indeholder SKID (Subject-Key-Identifier) og AKID (Authority-Key-Identifier) under x509 v3-udvidelser.

CLI-importprocedure:

Trin til import af PEM-fil til systemadministration:

  1. Generer CSR på DD-systemet eller Dell APEX Protection Storage-forekomsten, og indstil værdierne efter behov. Standard CSR er ikke tilstrækkelig.

    BEMÆRK: Når du tilpasser oplysninger i CSR, skal nøglen være mindst 2048 bit lang, Inkluder "alle" (både "clientAuth" og "serverAuth") i udvidet nøglebrug, og inkluder DD-værtsnavnet under emne-alternativ-navn eller almindeligt navn i emnelinjen.

    Eksempel:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Underskriv CSR'en med nøglecenteret, og bekræft, at emnets alternative navn kopieres over under underskrivelsen.

  3. Hent det signerede certifikat i X.509 PEM-format fra nøglecenteret.

  4. Hent CA-certifikatet i X.509 PEM-format.

  5. Indsæt indholdet af certifikaterne, eller kopier certifikatfilerne til /ddr/var/certificates/.

  6. Når du kopierer PEM-filerne til /ddr/var/certificates/:

    1. Kør nedenstående kommando for hver CA-certifikatfil. 
      adminaccess certificate import ca application system-management file <filename>
    2. Kør nedenstående kommando for at importere værtscertifikatet. 
      adminaccess certificate import host application system-management file <filename>

Trin til at importere PKCS12-fil til systemadministration:

Case-1: PKCS12 indeholder kun en krypteret privat nøgle (med PBE-SHA1-3DES) og et signeret certifikat. CA kæde er ikke inkluderet.

  1. Brug de nødvendige interne værktøjer til at generere en privat nøgle og CSR, og signer certifikatet.

  2. Generer PKCS12-filen kun med værtscertifikatet og værts-private-nøglen.

    Bemærk: Medtag ikke CA-certifikater, der har udstedt værtscertifikatet i PKCS12-filen, de er tilgængelige i X.509 PEM-format.

  3. Kopiér PKCS12-filen til /ddr/var/certificates/.

  4. Kopier CA-certifikatet til /ddr/var/certificates/.

  5. Importer først det eller de CA-certifikater, der udstedte værtscertifikatet, ved at køre nedenstående kommando for hver CA-certifikatfil.

    adminaccess certificate import ca application system-management file <filename>

  6. Når CA-certifikater er importeret, skal du importere værtscertifikatet i PKCS12 ved hjælp af nedenstående kommando.

    adminaccess certificate import host application system-management file <filename>

Case-2: PKCS12 indeholder en krypteret privat nøgle (med PBE-SHA1-3DES), signeret certifikat og CA-kæde.

  1. Brug de nødvendige interne værktøjer til at generere en privat nøgle og CSR, og signer certifikatet.

  2. Generer PKCS12-filen kun med værtscertifikatet og værts-private-nøglen.

    Bemærk: Medtag ikke CA-certifikater, der har udstedt værtscertifikatet, de er tilgængelige i X.509 PEM-format.  Hvert CA-certifikat i kæden op til Root-CA findes i X.509 PEM.

  3. Kopiér PKCS12-filen til /ddr/var/certificates/.

  4. Kør nedenstående kommando for at importere værtscertifikatet.

    adminaccess certificate import host application system-management file <filename>

Se nedenstående KB-artikel for at importere certifikaterne via UI:
Data Domain – Administration af værtscertifikater for HTTP og HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.