Data Domain: Como importar certificados assinados externamente na porta 3009

Summary: Como importar certificados assinados externamente na porta 3009 do DDOS versão 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota: Este artigo da KB se aplica somente ao DDOS 7.12 e versões mais recentes.

O sistema pode usar certificados de CA e host importados para os seguintes serviços de gerenciamento de sistemas em execução nas portas 3009 e 3013:

  • Comunicação de gerenciamento entre o sistema DD e o DDMC
  • Replicação
  • Comunicação entre os nós ativo e em espera de um par de HA
  • Manuseio da API REST

Os seguintes pré-requisitos se aplicam:

Pré-requisitos do certificado de host:

  • A frase secreta do sistema deve ser definida em DDR/DDVE/DD-HA.
  • O certificado deve ser válido (não expirado ou com datas de validade no futuro)
  • O certificado do host DEVE:
    • Inclua "TLS Web Server Authentication, TLS Web Client Authentication" em Extended Key Usage.
    • NÃO conter "CA:TRUE" em x509v3 Restrições básicas.
    • Inclua o nome do host do DDR/DDVE em Subject-Alternative-Name, common-name ou ambos na linha de assunto.
    • Incluir (se houver HA)
      • Nome do sistema HA sob o nome alternativo-sujeito, nome-comum ou ambos na linha de assunto.
      • Nomes de host de nós individuais em subject-alternative-name.
  • É recomendável que o certificado de host inclua o Authority Key Identifier (AKID) em "X509v3 extensions".
  • Apenas UM certificado de host pode ser importado.
  • O mesmo certificado de host pode ser usado para o PowerProtect DD System Manager (IU ou DDSM).

Pré-requisitos de certificado CA:

  • O certificado da CA deve ser válido (não expirado ou ter datas de validade no futuro).
  • Ele deve ser um certificado de CA, ou seja, deve conter os atributos necessários para indicar que é uma Autoridade que pode emitir certificados de cliente e servidor.
    • Como "CA:TRUE" em x509v3 Basic Constrains ou.
    • "keyCertSign" em keyUsage ou
    • Autoassinado (se houver Root-CA).
  • Se um certificado da CA estiver sendo importado colando o conteúdo do PEM, ou seja: adminaccess certificate import ca application system-management, apenas um certificado CA pode ser colado. Se vários forem fornecidos, o DD apresentará erro na operação.
  • Se um certificado CA estiver sendo importado usando o arquivo que é, adminaccess certificate import ca application system-management file <filename>, o arquivo não deve conter mais de um certificado CA. Se vários forem fornecidos, o DD apresentará erro na operação.
  • O certificado da CA deve ter a finalidade de emitir listas de revogação de certificados (CRL).
  • É recomendável que o certificado Root-CA contenha o Identificador de Chave de Assunto nas extensões x509v3. Recomenda-se que os certificados de CA intermediária contenham o Identificador de chave de assunto (SKID) e o Identificador de chave de autoridade (AKID) nas extensões x509 v3.

Procedimento de importação da CLI:

Etapas para importar o arquivo PEM para o gerenciamento do sistema:

  1. Gere a CSR no sistema DD ou na instância do Dell APEX Protection Storage, definindo os valores conforme necessário. A CSR padrão não é suficiente.

    Nota: Ao personalizar informações na CSR, a chave deve ter pelo menos 2.048 bits, incluir "all" (tanto "clientAuth" quanto "serverAuth") em Extended-key-usage e incluir o nome de host do DD em subject-alternative-name ou common-name na linha de assunto.

    Exemplo:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Assine a CSR com a CA e verifique se o subject-alternative-name foi copiado durante a assinatura.

  3. Obtenha o certificado assinado no formato X.509 PEM da autoridade de certificação.

  4. Obtenha o certificado CA no formato X.509 PEM.

  5. Cole o conteúdo dos certificados ou copie os arquivos de certificado para /ddr/var/certificates/.

  6. Ao copiar os arquivos PEM para /ddr/var/certificates/:

    1. Execute o comando abaixo para cada arquivo de certificado CA. 
      adminaccess certificate import ca application system-management file <filename>
    2. Execute o comando abaixo para importar o certificado do host. 
      adminaccess certificate import host application system-management file <filename>

Etapas para importar o arquivo PKCS12 para gerenciamento do sistema:

Caso 1: O PKCS12 contém apenas uma chave privada criptografada (com PBE-SHA1-3DES) e um certificado assinado. A cadeia CA não está incluída.

  1. Use as ferramentas internas necessárias para gerar uma chave privada e uma CSR e assinar o certificado.

  2. Gere o arquivo PKCS12 apenas com o certificado do host e a chave privada do host.

    Nota: Não inclua certificados CA que emitiram o certificado de host no arquivo PKCS12, eles estão disponíveis no formato X.509 PEM.

  3. Copie o arquivo PKCS12 para /ddr/var/certificates/.

  4. Copie o certificado da CA para /ddr/var/certificates/.

  5. Importe os certificados da CA que emitiram o certificado de host primeiro executando o comando abaixo para cada arquivo de certificado da CA.

    adminaccess certificate import ca application system-management file <filename>

  6. Depois que os certificados CA forem importados, importe o certificado de host no PKCS12 usando o comando abaixo.

    adminaccess certificate import host application system-management file <filename>

Caso 2: O PKCS12 contém uma chave privada criptografada (com PBE-SHA1-3DES), certificado assinado e cadeia de CA.

  1. Use as ferramentas internas necessárias para gerar uma chave privada e uma CSR e assinar o certificado.

  2. Gere o arquivo PKCS12 apenas com o certificado do host e a chave privada do host.

    Nota: Não inclua certificados CA que emitiram o certificado de host, eles estão disponíveis no formato X.509 PEM.  Cada certificado de CA na cadeia até a CA raiz está no PEM X.509.

  3. Copie o arquivo PKCS12 para /ddr/var/certificates/.

  4. Execute o comando abaixo para importar o certificado do host.

    adminaccess certificate import host application system-management file <filename>

Consulte o artigo da base de conhecimento abaixo para importar os certificados pela interface do usuário do:
Data Domain - Gerenciando certificados de host para HTTP e HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.