Data Domain:ポート3009で外部署名付き証明書をインポートする方法

Summary: DDOSバージョン7.12からポート3009で外部署名付き証明書をインポートする方法。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

注:このKBは、DDOS 7.12以降にのみ適用されます。

システムは、ポート3009および3013で実行されている次のシステム管理サービスに対して、インポートされたホスト証明書とCA証明書を使用できます。

  • DDシステムとDDMC間の管理通信
  • レプリケーション
  • HAペアのアクティブ ノードとスタンバイ ノード間の通信
  • REST APIの処理

次の前提条件が適用されます。

ホスト証明書の前提条件:

  • システム パスフレーズは、DDR/DDVE/DD-HAで設定する必要があります。
  • 証明書が有効であること(有効期限が切れていないこと、または将来の日付が有効であること)
  • ホスト証明書は、次の条件を満たす必要があります。
    • [拡張キー使用法]に「TLS Webサーバー認証、TLS Webクライアント認証」を含めます。
    • x509v3基本制約で「CA:TRUE」を含まない。
    • 件名のSubject-Alternative-Name、common-name、またはその両方の下に、DDR/DDVEのホスト名を含めます。
    • 含める(HAがある場合)
      • 件名行のsubject-alternative-name、common-name、またはその両方の下のHAシステム名。
      • subject-alternative-nameの下の個々のノードのホスト名。
  • ホスト証明書には、「X509v3拡張機能」の下に認証局キー識別子(AKID)を含めることをお勧めします。
  • インポートできるホスト証明書は1つだけです。
  • PowerProtect DD System Manager(UIまたはDDSM)に同じホスト証明書を使用できます。

CA証明書の前提条件:

  • CA証明書は有効である必要があります(有効期限が切れていないこと、または将来の日付が有効であること)。
  • これはCA証明書である必要があります。つまり、クライアント証明書とサーバー証明書を発行できる機関であることを示すために必要な属性が含まれている必要があります。
    • x509v3 Basic Constrainsまたはの「CA:TRUE」のように。
    • keyUsageの下の「keyCertSign」または
    • 自己署名(ルートCAがある場合)。
  • PEMの内容を貼り付けることによってCA証明書をインポートする場合、つまり、 adminaccess certificate import ca application system-managementの場合、貼り付けることができるCA証明書は1つだけです。複数指定すると、DDは操作をエラー アウトします。
  • CA証明書が、次のファイルを使用してインポートされている場合は、 adminaccess certificate import ca application system-management file <filename>の場合、ファイルに複数のCA証明書を含めることはできません。複数指定すると、DDは操作をエラー アウトします。
  • CA証明書には、証明書失効リスト(CRL)を発行する目的が必要です。
  • ルートCA証明書には、x509v3拡張機能の下にサブジェクト キー識別子を含めることをお勧めします。中間CA証明書には、x509 v3拡張機能でサブジェクト キー識別子(SKID)と認証局キー識別子(AKID)を含めることをお勧めします。

CLIインポート手順:

システム管理用のPEMファイルをインポートする手順:

  1. DDシステムまたはDell APEX Protection StorageインスタンスでCSRを生成し、必要に応じて値を設定します。デフォルトのCSRでは不十分です。

    メモ: CSRの情報をカスタマイズする場合、キーは少なくとも2048ビット長で、Extended-key-usageに「all」(「clientAuth」と「serverAuth」の両方)を含め、件名のsubject-alternative-nameまたはcommon-nameの下にDDホスト名を含める必要があります。

    Example:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. CA を使用して CSR に署名し、署名中にサブジェクト代替名がコピーされることを確認します。

  3. 認証局からX.509 PEM形式の署名付き証明書を取得します。

  4. CA証明書をX.509 PEM形式で取得します。

  5. 証明書の内容を貼り付けるか、証明書ファイルを/ddr/var/certificates/にコピーします。

  6. PEMファイルを/ddr/var/certificates/にコピーする場合:

    1. 各CA証明書ファイルに対して次のコマンドを実行します。 
      adminaccess certificate import ca application system-management file <filename>
    2. 次のコマンドを実行して、ホスト証明書をインポートします。 
      adminaccess certificate import host application system-management file <filename>

システム管理用のPKCS12ファイルをインポートする手順:

ケース-1: PKCS12には、暗号化された秘密鍵(PBE-SHA1-3DESを使用)と署名付き証明書のみが含まれています。CAチェーンは含まれません。

  1. 必要な内部ツールを使用して、秘密キーとCSRを生成し、証明書に署名します。

  2. ホスト証明書とホスト秘密キーのみを使用してPKCS12ファイルを生成します。

    注:ホスト証明書を発行したCA証明書をPKCS12ファイルに含めないでください。これらはX.509 PEM形式で使用できます。

  3. PKCS12ファイルを/ddr/var/certificates/にコピーします。

  4. CA証明書を/ddr/var/certificates/にコピーします。

  5. 各CA証明書ファイルに対して次のコマンドを実行して、最初にホスト証明書を発行したCA証明書をインポートします。

    adminaccess certificate import ca application system-management file <filename>

  6. CA証明書がインポートされたら、次のコマンドを使用して、PKCS12にホスト証明書をインポートします。

    adminaccess certificate import host application system-management file <filename>

ケース2: PKCS12には、暗号化されたプライベート キー(PBE-SHA1-3DESを使用)、署名済み証明書、CAチェーンが含まれています。

  1. 必要な内部ツールを使用して、秘密キーとCSRを生成し、証明書に署名します。

  2. ホスト証明書とホスト秘密キーのみを使用してPKCS12ファイルを生成します。

    注:ホスト証明書を発行したCA証明書は、X.509 PEM形式で使用可能ですので、含めないでください。  ルートCAまでのチェーン内の各CA証明書は、X.509 PEMにあります。

  3. PKCS12ファイルを/ddr/var/certificates/にコピーします。

  4. 次のコマンドを実行して、ホスト証明書をインポートします。

    adminaccess certificate import host application system-management file <filename>

UIを介して証明書をインポートするには、次のKB記事を参照してください:
Data Domain - HTTPおよびHTTPSのホスト証明書の管理

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.