Data Domain: Come importare certificati firmati esternamente sulla porta 3009

Summary: Come importare i certificati firmati esternamente sulla porta 3009 da DDOS versione 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota: Questo articolo della KB si applica solo a DDOS 7.12 e versioni successive.

Il sistema può utilizzare i certificati host e CA importati per i seguenti servizi di gestione dei sistemi in esecuzione sulle porte 3009 e 3013:

  • Comunicazione di gestione tra il sistema DD e DDMC
  • Replica
  • Comunicazione tra i nodi attivi e di standby di una coppia HA
  • Gestione API REST

Si applicano i seguenti prerequisiti:

Prerequisiti del certificato host:

  • La passphrase di sistema deve essere impostata su DDR/DDVE/DD-HA.
  • Il certificato deve essere valido (non scaduto o con date di validità future)
  • Il certificato host DOVREBBE:
    • Includere "TLS Web Server Authentication, TLS Web Client Authentication" in Extended Key Usage.
    • NON contenere "CA:TRUE" sotto i vincoli di base x509v3.
    • Includere il nome host di DDR/DDVE in Subject-Alternative-Name, common-name o entrambi nella riga dell'oggetto.
    • Includi (se è presente HA)
      • Nome del sistema HA in subject-alternative-name, common-name o entrambi nella riga dell'oggetto.
      • Nomi host dei singoli nodi in subject-alternative-name.
  • Si consiglia che il certificato host includa AKID (Authority Key Identifier) in "X509v3 extensions".
  • È possibile importare UN SOLO certificato host.
  • Lo stesso certificato host può essere utilizzato per PowerProtect DD System Manager (interfaccia utente o DDSM).

Prerequisiti del certificato CA:

  • Il certificato CA deve essere valido (non scaduto o con date di validità future).
  • Deve essere un certificato CA, ovvero deve contenere gli attributi necessari per indicare che si tratta di un Authority in grado di emettere certificati client e server.
    • Ad esempio, "CA:TRUE" in x509v3 Basic Consbars o.
    • "keyCertSign" in keyUsage o
    • Autofirmato (se è presente una CA radice).
  • Se un certificato CA viene importato incollando il contenuto del PEM, ovvero, adminaccess certificate import ca application system-management, è possibile incollare un solo certificato CA. Se ne vengono forniti più di uno, DD determinerà un errore durante l'operazione.
  • Se un certificato CA viene importato utilizzando un file adminaccess certificate import ca application system-management file <filename>, il file non deve contenere più di un certificato CA. Se ne vengono forniti più di uno, DD determinerà un errore durante l'operazione.
  • Il certificato CA deve avere lo scopo di emettere elenchi CRL (Certificate Revocation List).
  • Si consiglia che il certificato CA radice contenga l'ID della chiave soggetto con estensione x509v3. Si consiglia di utilizzare certificati CA intermedi per contenere SKID (Subject-Key-Identifier) e AKID (Authority-Key-Identifier) con estensione x509 v3.

Procedura di importazione CLI:

Procedura per importare il file PEM per la gestione del sistema:

  1. Generare la CSR sul sistema DD o sull'istanza Dell APEX Protection Storage, impostando i valori in base alle esigenze. La CSR predefinita non è sufficiente.

    NOTA: Quando si personalizzano le informazioni nella CSR, la chiave deve avere una lunghezza di almeno 2.048 bit, includere "all" (sia "clientAuth" che "serverAuth") in Extended-key-usage, e includere il nome host DD in subject-alternative-name o common-name nella riga dell'oggetto.

    Esempio:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Firmare la CSR con la CA e verificare che il subject-alternative-name venga copiato durante la firma.

  3. Ottenere il certificato firmato in formato X.509 PEM dalla CA.

  4. Ottenere il certificato CA in formato X.509 PEM.

  5. Incollare il contenuto dei certificati o copiare i file di certificato in /ddr/var/certificates/.

  6. Quando si copiano i file PEM in /ddr/var/certificates/:

    1. Eseguire il comando riportato di seguito per ciascun file di certificato CA. 
      adminaccess certificate import ca application system-management file <filename>
    2. Eseguire il comando seguente per importare il certificato host. 
      adminaccess certificate import host application system-management file <filename>

Procedura per importare il file PKCS12 per la gestione del sistema:

Caso-1: PKCS12 contiene solo una chiave privata crittografata (con PBE-SHA1-3DES) e un certificato firmato. La catena CA non è inclusa.

  1. Utilizzare gli strumenti interni richiesti per generare una chiave privata e una CSR e firmare il certificato.

  2. Generare il file PKCS12 con solo il certificato host e la chiave privata dell'host.

    Nota: Non includere i certificati CA che hanno emesso il certificato host nel file PKCS12, quelli sono disponibili in formato X.509 PEM.

  3. Copiare il file PKCS12 in /ddr/var/certificates/.

  4. Copiare il certificato CA in /ddr/var/certificates/.

  5. Importare prima i certificati CA che hanno emesso il certificato host eseguendo il comando riportato di seguito per ogni file di certificato CA.

    adminaccess certificate import ca application system-management file <filename>

  6. Una volta importati i certificati CA, importare il certificato host in PKCS12 utilizzando il comando riportato di seguito.

    adminaccess certificate import host application system-management file <filename>

Caso-2: PKCS12 contiene una chiave privata crittografata (con PBE-SHA1-3DES), un certificato firmato e una catena CA.

  1. Utilizzare gli strumenti interni richiesti per generare una chiave privata e una CSR e firmare il certificato.

  2. Generare il file PKCS12 con solo il certificato host e la chiave privata dell'host.

    Nota: Non includere i certificati CA che hanno emesso il certificato host, quelli sono disponibili in formato X.509 PEM.  Ogni certificato CA nella catena fino alla CA radice si trova nel PEM X.509.

  3. Copiare il file PKCS12 in /ddr/var/certificates/.

  4. Eseguire il comando seguente per importare il certificato host.

    adminaccess certificate import host application system-management file <filename>

Per importare i certificati tramite UI:
Data Domain - Gestione dei certificati host per HTTP e HTTPS, consultare l'articolo della Knowledge Base riportato di seguito.

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.