Data Domain: Slik importerer du eksternt signerte sertifikater på port 3009

Summary: Slik importerer du eksternt signerte sertifikater på port 3009 fra DDOS versjon 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Merk: Denne kunnskapsartikkelen gjelder bare for DDOS 7.12 og nyere.

Systemet kan bruke importerte verts- og CA-sertifikater for følgende systemadministrasjonstjenester som kjører på port 3009 og 3013:

  • Ledelseskommunikasjon mellom DD-systemet og DDMC
  • Replication
  • Kommunikasjon mellom de aktive nodene og standbynodene til et HA-par
  • Håndtering av REST API

Følgende forutsetninger gjelder:

Forutsetninger for vertssertifikat:

  • Systempassordet må angis på DDR/DDVE/DD-HA.
  • Sertifikatet må være gyldig (ikke utløpt eller med gyldighetsdatoer i fremtiden)
  • Vertssertifikat SKAL:
    • Inkluder "TLS Web Server Authentication, TLS Web Client Authentication" under Utvidet nøkkelbruk.
    • IKKE inneholder "CA:TRUE" under x509v3 Basic Constraints.
    • Inkluder vertsnavnet til DDR/DDVE under Subject-Alternative-Name, common-name eller begge i emnelinjen.
    • Inkluder (Hvis det er HA)
      • HA-systemnavn under subject-alternative-name, common-name eller begge deler i emnelinjen.
      • Vertsnavn for den enkelte node under subject-alternative-name.
  • Vertssertifikatet anbefales å inkludere Authority Key Identifier (AKID) under "X509v3-utvidelser".
  • Bare ETT vertssertifikat kan importeres.
  • Samme vertssertifikat kan brukes for PowerProtect DD System Manager (UI eller DDSM).

Forutsetninger for CA-sertifikat:

  • CA-sertifikatet må være gyldig (ikke utløpt eller med gyldighetsdatoer i fremtiden).
  • Det bør være et CA-sertifikat, det vil si at det skal inneholde de nødvendige attributtene for å indikere at det er en myndighet som kan utstede klient- og serversertifikater.
    • Som "CA:TRUE" under x509v3 Basic Constrains eller.
    • "keyCertSign" under keyUsage eller
    • Selvsignert (hvis det finnes Root-CA).
  • Hvis et CA-sertifikat importeres ved å lime inn PEM-innhold, vil det si adminaccess certificate import ca application system-managementkan bare ett CA-sertifikat limes inn. Hvis flere er angitt, vil DD feile operasjonen.
  • Hvis et CA-sertifikat importeres ved hjelp av en fil som er, adminaccess certificate import ca application system-management file <filename>, bør filen ikke inneholde mer enn ett CA-sertifikat. Hvis flere er angitt, vil DD feile operasjonen.
  • CA-sertifikat skal ha som formål å utstede sertifikatopphevelseslister (CRL).
  • Root-CA-sertifikat anbefales å inneholde emnenøkkelidentifikator under x509v3-utvidelser. Mellomliggende CA-sertifikat(er) anbefales å inneholde Subject-Key-Identifier (SKID) og Authority-Key-Identifier (AKID) under x509 v3-utvidelser.

Fremgangsmåte for CLI-import:

Trinn for å importere PEM-fil for systemadministrasjon:

  1. Generer CSR på DD-systemet eller Dell APEX Protection Storage-forekomsten, og angi verdiene etter behov. Standard CSR er ikke tilstrekkelig.

    MERK: Når du tilpasser informasjon i CSR, må nøkkelen være minst 2048 biter lang, inkludere "all" (både "clientAuth" og "serverAuth") i utvidet nøkkelbruk, og inkludere DD-vertsnavnet under subject-alternative-name eller common-name i emnelinjen.

    Eksempel:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Signer CSR med sertifiseringsinstansen, og kontroller at navnet på emnealternativet kopieres over under signeringen.

  3. Hent det signerte sertifikatet i X.509 PEM-format fra sertifiseringsinstansen.

  4. Hent CA-sertifikatet i X.509 PEM-format.

  5. Lim inn innholdet i sertifikatene, eller kopier sertifikatfilene til /ddr/var/certificates/.

  6. Når du kopierer PEM-filene til /ddr/var/certificates/:

    1. Kjør kommandoen nedenfor for hver CA-sertifikatfil. 
      adminaccess certificate import ca application system-management file <filename>
    2. Kjør kommandoen nedenfor for å importere vertssertifikatet. 
      adminaccess certificate import host application system-management file <filename>

Trinn for å importere PKCS12-fil for systemadministrasjon:

Sak-1: PKCS12 inneholder kun en kryptert privatnøkkel (med PBE-SHA1-3DES) og et signert sertifikat. CA-kjeden er ikke inkludert.

  1. Bruk de nødvendige interne verktøyene til å generere en privat nøkkel og CSR, og signer sertifikatet.

  2. Generer PKCS12-filen med bare vertssertifikatet og den private vertsnøkkelen.

    Merk: Ikke inkluder noen CA-sertifikater som utstedte vertssertifikatet i PKCS12-fil, de er tilgjengelige i X.509 PEM-format.

  3. Kopier PKCS12-filen til /ddr/var/certificates/.

  4. Kopier CA-sertifikatet til /ddr/var/certificates/.

  5. Importer CA-sertifikatet(ene) som utstedte vertssertifikatet først, ved å kjøre kommandoen nedenfor for hver CA-sertifikatfil.

    adminaccess certificate import ca application system-management file <filename>

  6. Når CA-sertifikatene er importert, importerer du vertssertifikatet i PKCS12 ved hjelp av kommandoen nedenfor.

    adminaccess certificate import host application system-management file <filename>

Sak-2: PKCS12 inneholder en kryptert privatnøkkel (med PBE-SHA1-3DES), signert sertifikat og CA-kjede.

  1. Bruk de nødvendige interne verktøyene til å generere en privat nøkkel og CSR, og signer sertifikatet.

  2. Generer PKCS12-filen med bare vertssertifikatet og den private vertsnøkkelen.

    Merk: Ikke inkluder noen CA-sertifikater som utstedte vertssertifikatet, de er tilgjengelige i X.509 PEM-format.  Hvert CA-sertifikat i kjeden opp til Root-CA er i X.509 PEM.

  3. Kopier PKCS12-filen til /ddr/var/certificates/.

  4. Kjør kommandoen nedenfor for å importere vertssertifikatet.

    adminaccess certificate import host application system-management file <filename>

Se KB-artikkelen nedenfor for å importere sertifikatene over UI:
Data Domain – Administrere vertssertifikater for HTTP og HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.