Data Domain: Extern ondertekende certificaten importeren op poort 3009

Summary: Extern ondertekende certificaten importeren op poort 3009 vanuit DDOS versie 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Opmerking: Deze KB is alleen van toepassing op DDOS 7.12 en nieuwer.

Het systeem kan geïmporteerde host- en CA-certificaten gebruiken voor de volgende systeembeheerservices die worden uitgevoerd op poorten 3009 en 3013:

  • Managementcommunicatie tussen het DD-systeem en DDMC
  • Replicatie
  • Communicatie tussen de actieve en stand-byknooppunten van een HA-paar
  • REST API-afhandeling

De volgende voorwaarden zijn van toepassing:

Vereisten voor hostcertificaten:

  • De systeemwachtwoordzin moet zijn ingesteld op DDR/DDVE/DD-HA.
  • Het certificaat moet geldig zijn (niet verlopen of met geldigheidsdata in de toekomst)
  • Hostcertificaat MOET:
    • Neem TLS Web Server Authentication, TLS Web Client Authentication op onder Extended Key Usage.
    • Bevat NIET "CA:TRUE" onder x509v3 Basic Constraints.
    • Neem de hostnaam van DDR/DDVE op onder Subject-Alternative-Name, common-name of beide in de onderwerpregel.
    • Inclusief (als er HA is)
      • HA-systeemnaam onder onderwerp-alternatieve-naam, gemeenschappelijke-naam of beide in de onderwerpregel.
      • Hostnamen van individuele knooppunten onder subject-alternative-name.
  • Het wordt aanbevolen om het hostcertificaat Authority Key Identifier (AKID) op te nemen onder "X509v3 extensions".
  • Er kan slechts één hostcertificaat worden geïmporteerd.
  • Hetzelfde hostcertificaat kan worden gebruikt voor PowerProtect DD System Manager (UI of DDSM).

CA-certificaatvereisten:

  • CA-certificaat moet geldig zijn (niet verlopen of met geldigheidsdatums in de toekomst).
  • Het moet een CA-certificaat zijn, dat wil zeggen dat het de nodige kenmerken moet bevatten om aan te geven dat het een autoriteit is die client- en servercertificaten kan uitgeven.
    • Zoals "CA:TRUE" onder x509v3 Basic Constrains of.
    • "keyCertSign" onder keyUsage of
    • Zelfondertekend (dit is als er root-CA is).
  • Als een CA-certificaat wordt geïmporteerd door PEM-inhoud te plakken, dat wil zeggen, adminaccess certificate import ca application system-managementkan er slechts één CA-certificaat worden geplakt. Als er meerdere zijn opgegeven, zal DD een fout maken bij de bewerking.
  • Als een CA-certificaat wordt geïmporteerd met het bestand dat adminaccess certificate import ca application system-management file <filename>, mag het bestand niet meer dan één CA-certificaat bevatten. Als er meerdere zijn opgegeven, zal DD een fout maken bij de bewerking.
  • Het CA-certificaat moet tot doel hebben om Certificate Revocation Lists (CRL) uit te geven.
  • Het wordt aanbevolen om het root-CA-certificaat te bevatten Subject Key Identifier onder x509v3-extensies. Intermediate-CA-certificaat(en) worden aanbevolen om Subject-Key-Identifier (SKID) en Authority-Key-Identifier (AKID) te bevatten onder x509 v3-extensies.

CLI import procedure:

Stappen voor het importeren van een PEM-bestand voor systeembeheer:

  1. Genereer de CSR op het DD-systeem of de Dell APEX Protection Storage-instantie en stel de waarden in zoals vereist. De standaard CSR is niet voldoende.

    OPMERKING: Bij het aanpassen van informatie in de CSR moet de sleutel ten minste 2048 bits lang zijn, "all" (zowel "clientAuth" als "serverAuth") opnemen in Extended-key-usage en de DD-hostnaam opnemen onder subject-alternative-name of common-name in de onderwerpregel.

    Voorbeeld:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Onderteken de CSR met de CA en controleer of de subject-alternative-name is gekopieerd tijdens het ondertekenen.

  3. Verkrijg het ondertekende certificaat in X.509 PEM-indeling van de certificeringsinstantie.

  4. Verkrijg het CA-certificaat in X.509 PEM-indeling.

  5. Plak de inhoud van de certificaten of kopieer de certificaatbestanden naar /ddr/var/certificates/.

  6. Bij het kopiëren van de PEM-bestanden naar /ddr/var/certificates/:

    1. Voer de onderstaande opdracht uit voor elk CA-certificaatbestand. 
      adminaccess certificate import ca application system-management file <filename>
    2. Voer de onderstaande opdracht uit om het hostcertificaat te importeren. 
      adminaccess certificate import host application system-management file <filename>

Stappen voor het importeren van het PKCS12-bestand voor systeembeheer:

Geval-1: PKCS12 bevat alleen een versleutelde persoonlijke sleutel (met PBE-SHA1-3DES) en een ondertekend certificaat. CA-ketting is niet inbegrepen.

  1. Gebruik de vereiste interne tools om een persoonlijke sleutel en CSR te genereren en onderteken het certificaat.

  2. Genereer het PKCS12-bestand met alleen het hostcertificaat en de privésleutel van de host.

    Opmerking: Neem geen CA-certificaten op die het hostcertificaat hebben uitgegeven in het PKCS12-bestand, deze zijn beschikbaar in X.509 PEM-indeling.

  3. Kopieer het PKCS12-bestand naar /ddr/var/certificates/.

  4. Kopieer het CA-certificaat naar /ddr/var/certificates/.

  5. Importeer eerst de CA-certificaten die het hostcertificaat hebben uitgegeven door de onderstaande opdracht uit te voeren voor elk CA-certificaatbestand.

    adminaccess certificate import ca application system-management file <filename>

  6. Nadat CA-certificaten zijn geïmporteerd, importeert u het hostcertificaat in PKCS12 met behulp van de onderstaande opdracht.

    adminaccess certificate import host application system-management file <filename>

Geval 2: PKCS12 bevat een versleutelde persoonlijke sleutel (met PBE-SHA1-3DES), een ondertekend certificaat en CA-keten.

  1. Gebruik de vereiste interne tools om een persoonlijke sleutel en CSR te genereren en onderteken het certificaat.

  2. Genereer het PKCS12-bestand met alleen het hostcertificaat en de privésleutel van de host.

    Opmerking: Neem geen CA-certificaten op die het hostcertificaat hebben uitgegeven, deze zijn beschikbaar in X.509 PEM-indeling.  Elk CA-certificaat in de keten tot aan de root-CA bevindt zich in de X.509 PEM.

  3. Kopieer het PKCS12-bestand naar /ddr/var/certificates/.

  4. Voer de onderstaande opdracht uit om het hostcertificaat te importeren.

    adminaccess certificate import host application system-management file <filename>

Zie het onderstaande KB-artikel voor het importeren van de certificaten via UI:
Data Domain - Hostcertificaten voor HTTP en HTTPS beheren

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.