Data Domain: Importowanie certyfikatów podpisanych zewnętrznie na porcie 3009

Summary: Jak zaimportować certyfikaty podpisane zewnętrznie na porcie 3009 z DDOS w wersji 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Uwaga: Ten artykuł bazy wiedzy dotyczy tylko DDOS 7.12 i nowszych.

System może używać zaimportowanych certyfikatów hosta i CA dla następujących usług zarządzania systemem działających na portach 3009 i 3013:

  • Komunikacja zarządcza między systemem DD a DDMC
  • Replikacja
  • Komunikacja między węzłami aktywnymi i rezerwowymi pary HA
  • Obsługa REST API

Spełnione są następujące warunki:

Wymagania wstępne certyfikatu hosta:

  • Hasło systemowe musi być ustawione na DDR/DDVE/DD-HA.
  • Certyfikat musi być ważny (nie wygasł lub z datami ważności w przyszłości)
  • Certyfikat hosta POWINIEN:
    • Uwzględnij opcję "Uwierzytelnianie serwera sieci Web TLS, uwierzytelnianie klienta sieci Web TLS" w obszarze Rozszerzone użycie klucza.
    • NIE zawierają wartości "CA:TRUE" w ramach podstawowych ograniczeń x509v3.
    • W wierszu tematu uwzględnij nazwę hosta DDR/DDVE w polach Subject-Alternative-Name, common-name lub obu tych elementów.
    • Uwzględnij (jeśli jest HA)
      • nazwa-systemu HA pod nazwą-alternatywną-podmiotu, nazwą-pospolitą lub obiema nazwami w wierszu tematu.
      • Nazwy hostów poszczególnych węzłów w parametrze subject-alternative-name.
  • Zaleca się, aby certyfikat hosta zawierał identyfikator klucza urzędu certyfikacji (AKID) w sekcji "Rozszerzenia X509v3".
  • Można zaimportować tylko JEDEN certyfikat hosta.
  • Ten sam certyfikat hosta może być używany dla PowerProtect DD System Manager (UI lub DDSM).

Wymagania wstępne certyfikatu urzędu certyfikacji:

  • Certyfikat CA musi być ważny (nie wygasł lub z datami ważności w przyszłości).
  • Powinien to być certyfikat CA, to znaczy powinien zawierać niezbędne atrybuty wskazujące, że jest to urząd mający uprawnienia do wystawiania certyfikatów klienta i serwera.
    • Na przykład "CA:TRUE" w obszarze x509v3 Podstawowe ograniczenia lub.
    • "keyCertSign" w sekcji keyUsage lub
    • Samopodpis (dzieje się tak, jeśli istnieje główny urząd certyfikacji).
  • Jeśli certyfikat urzędu certyfikacji jest importowany przez wklejenie zawartości PEM, oznacza to, że adminaccess certificate import ca application system-managementmożna wkleić tylko jeden certyfikat urzędu certyfikacji. Jeśli podano ich kilka, DD zgłosi błąd operacji.
  • Jeśli certyfikat CA jest importowany przy użyciu pliku, który jest: adminaccess certificate import ca application system-management file <filename>plik nie powinien zawierać więcej niż jednego certyfikatu urzędu certyfikacji. Jeśli podano ich kilka, DD zgłosi błąd operacji.
  • Certyfikat urzędu certyfikacji powinien mieć na celu wystawianie list odwołania certyfikatów (CRL).
  • Zaleca się, aby certyfikat Root-CA zawierał identyfikator klucza podmiotu w rozszerzeniach x509v3. Zaleca się, aby certyfikaty pośredniego urzędu certyfikacji zawierały identyfikator klucza podmiotu (SKID) i identyfikator klucza urzędu (AKID) w rozszerzeniach x509 v3.

Procedura importu CLI:

Etapy importowania pliku PEM do zarządzania systemem:

  1. Wygeneruj CSR w systemie DD lub wystąpieniu Dell APEX Protection Storage, ustawiając wartości zgodnie z wymaganiami. Domyślny CSR nie jest wystarczający.

    UWAGA: Podczas dostosowywania informacji w CSR, klucz musi mieć co najmniej 2048 bitów, uwzględnić "all" (zarówno "clientAuth", jak i "serverAuth") w rozszerzonym użyciu klucza i uwzględnić nazwę hosta DD w subject-alternative-name lub common-name w wierszu tematu.

    Przykład:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Podpisz CSR z urzędem certyfikacji i sprawdź, czy alternatywna nazwa podmiotu została skopiowana podczas podpisywania.

  3. Uzyskaj podpisany certyfikat w formacie X.509 PEM od urzędu certyfikacji.

  4. Uzyskaj certyfikat CA w formacie PEM X.509.

  5. Wklej zawartość certyfikatów lub skopiuj pliki certyfikatów do katalogu /ddr/var/certificates/.

  6. Podczas kopiowania plików PEM do katalogu /ddr/var/certificates/:

    1. Uruchom poniższe polecenie dla każdego pliku certyfikatu CA. 
      adminaccess certificate import ca application system-management file <filename>
    2. Uruchom poniższe polecenie, aby zaimportować certyfikat hosta. 
      adminaccess certificate import host application system-management file <filename>

Etapy importowania pliku PKCS12 do zarządzania systemem:

Przypadek 1: PKCS12 zawiera tylko zaszyfrowany klucz prywatny (z PBE-SHA1-3DES) i podpisany certyfikat. Łańcuch CA nie jest dołączony.

  1. Użyj wymaganych narzędzi wewnętrznych, aby wygenerować klucz prywatny i żądanie CSR, a następnie podpisz certyfikat.

  2. Wygeneruj plik PKCS12, który zawiera tylko certyfikat hosta i klucz prywatny hosta.

    Uwaga: Nie dołączaj żadnych certyfikatów CA, które wystawiły certyfikat hosta w pliku PKCS12, są one dostępne w formacie X.509 PEM.

  3. Skopiuj plik PKCS12 do katalogu /ddr/var/certificates/.

  4. Skopiuj certyfikat CA do katalogu /ddr/var/certificates/.

  5. Zaimportuj certyfikaty urzędu certyfikacji, które wystawiły certyfikat hosta, uruchamiając poniższe polecenie dla każdego pliku certyfikatu urzędu certyfikacji.

    adminaccess certificate import ca application system-management file <filename>

  6. Po zaimportowaniu certyfikatów CA zaimportuj certyfikat hosta w PKCS12 za pomocą poniższego polecenia.

    adminaccess certificate import host application system-management file <filename>

Przypadek 2: PKCS12 zawiera zaszyfrowany klucz prywatny (z PBE-SHA1-3DES), podpisany certyfikat i łańcuch CA.

  1. Użyj wymaganych narzędzi wewnętrznych, aby wygenerować klucz prywatny i żądanie CSR, a następnie podpisz certyfikat.

  2. Wygeneruj plik PKCS12, który zawiera tylko certyfikat hosta i klucz prywatny hosta.

    Uwaga: Nie dołączaj żadnych certyfikatów CA, które wystawiły certyfikat hosta, są one dostępne w formacie X.509 PEM.  Każdy certyfikat urzędu certyfikacji w łańcuchu aż do głównego urzędu certyfikacji znajduje się w PEM X.509.

  3. Skopiuj plik PKCS12 do katalogu /ddr/var/certificates/.

  4. Uruchom poniższe polecenie, aby zaimportować certyfikat hosta.

    adminaccess certificate import host application system-management file <filename>

Zapoznaj się z poniższym artykułem bazy wiedzy, aby zaimportować certyfikaty za pośrednictwem interfejsu użytkownika:
Data Domain - Zarządzanie certyfikatami hosta dla HTTP i HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.