Data Domain: Så här importerar du externt signerade certifikat på port 3009

Summary: Importera externt signerade certifikat på port 3009 från DDOS version 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Obs! Denna KB gäller endast DDOS 7.12 och senare.

Systemet kan använda importerade värd- och CA-certifikat för följande systemhanteringstjänster som körs på portarna 3009 och 3013:

  • Hanteringskommunikation mellan DD-systemet och DDMC
  • Replikering
  • Kommunikation mellan de aktiva noderna och väntelägesnoderna i ett HA-par
  • REST API-hantering

Följande förutsättningar gäller:

Krav för värdcertifikat:

  • Systemets lösenfras måste anges på DDR/DDVE/DD-HA.
  • Certifikatet måste vara giltigt (får inte ha upphört att gälla eller med giltighetsdatum i framtiden)
  • Värdcertifikat BÖR:
    • Inkludera "TLS-webbserverautentisering, TLS-webbklientautentisering" under Utökad nyckelanvändning.
    • NOT innehåller "CA:TRUE" under x509v3 Grundläggande begränsningar.
    • Inkludera värdnamnet för DDR/DDVE under Subject-Alternative-Name, common-name eller båda i ämnesraden.
    • Inkludera (om det finns HA)
      • HA-systemnamn under Subject-alternative-name, common-name eller båda i ämnesraden.
      • Enskilda noders värdnamn under subject-alternative-name.
  • Värdcertifikatet rekommenderas att inkludera AKID (Authority Key Identifier) under "X509v3-tillägg".
  • Endast ETT värdcertifikat kan importeras.
  • Samma värdcertifikat kan användas för PowerProtect DD System Manager (UI eller DDSM).

Krav för CA-certifikat:

  • CA-certifikatet måste vara giltigt (får inte ha upphört att gälla eller med giltighetsdatum i framtiden).
  • Det bör vara ett CA-certifikat, d.v.s. det bör innehålla de attribut som krävs för att indikera att det är en utfärdare som kan utfärda klient- och servercertifikat.
    • Som "CA:TRUE" under x509v3 Grundläggande begränsningar eller.
    • "keyCertSign" under keyUsage eller
    • Självsignerad (detta är om det finns Root-CA).
  • Om ett CA-certifikat importeras genom att klistra in PEM-innehåll, d.v.s. adminaccess certificate import ca application system-managementkan endast ett CA-certifikat klistras in. Om flera anges kommer DD att felavsluta åtgärden.
  • Om ett CA-certifikat importeras med en fil, d.v.s. adminaccess certificate import ca application system-management file <filename>får filen inte innehålla mer än ett CA-certifikat. Om flera anges kommer DD att felavsluta åtgärden.
  • CA-certifikat ska ha som syfte att utfärda listor över återkallade certifikat (CRL).
  • Rotcertifikatutfärdarens certifikat rekommenderas att innehålla ämnesnyckelidentifierare under x509v3-tillägg. Mellanliggande CA-certifikat rekommenderas att innehålla Subject-Key-Identifier (SKID) och Authority-Key-Identifier (AKID) under x509 v3-tillägg.

CLI-importprocedur:

Steg för att importera PEM-fil för systemhantering:

  1. Generera CSR på DD-systemet eller Dell APEX Protection Storage-instansen och ange värdena efter behov. Standard-CSR är inte tillräcklig.

    Obs! När du anpassar information i CSR måste nyckeln vara minst 2048 bitar lång, inkludera "all" (både "clientAuth" och "serverAuth") i Extended-key-usage och inkludera DD-värdnamnet under subject-alternative-name eller common-name på ämnesraden.

    Exempel:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Signera CSR med certifikatutfärdaren och kontrollera att det alternativa ämnesnamnet kopieras över under signeringen.

  3. Hämta det signerade certifikatet i X.509 PEM-format från certifikatutfärdaren.

  4. Hämta CA-certifikatet i X.509 PEM-format.

  5. Klistra in innehållet i certifikaten eller kopiera certifikatfilerna till /ddr/var/certificates/.

  6. När du kopierar PEM-filerna till /ddr/var/certificates/:

    1. Kör kommandot nedan för varje CA-certifikatfil. 
      adminaccess certificate import ca application system-management file <filename>
    2. Kör kommandot nedan för att importera värdcertifikatet. 
      adminaccess certificate import host application system-management file <filename>

Steg för att importera PKCS12-filen för systemhantering:

Ärende-1: PKCS12 innehåller endast en krypterad privat nyckel (med PBE-SHA1-3DES) och ett signerat certifikat. CA-kedja ingår inte.

  1. Använd de interna verktyg som krävs för att generera en privat nyckel och CSR och signera certifikatet.

  2. Generera PKCS12-filen med endast värdcertifikatet och värdens privata nyckel.

    Obs! Inkludera inte några CA-certifikat som utfärdade värdcertifikatet i PKCS12-filen, de är tillgängliga i X.509 PEM-format.

  3. Kopiera PKCS12-filen till /ddr/var/certificates/.

  4. Kopiera CA-certifikatet till /ddr/var/certificates/.

  5. Importera CA-certifikaten som utfärdade host-certificate först genom att köra kommandot nedan för varje CA-certifikatfil.

    adminaccess certificate import ca application system-management file <filename>

  6. När CA-certifikat har importerats importerar du host-certificate i PKCS12 med kommandot nedan.

    adminaccess certificate import host application system-management file <filename>

Fall-2: PKCS12 innehåller en krypterad privat nyckel (med PBE-SHA1-3DES), signerat certifikat och CA-kedja.

  1. Använd de interna verktyg som krävs för att generera en privat nyckel och CSR och signera certifikatet.

  2. Generera PKCS12-filen med endast värdcertifikatet och värdens privata nyckel.

    Obs! Inkludera inte några CA-certifikat som utfärdade värdcertifikatet, de är tillgängliga i X.509 PEM-format.  Varje CA-certifikat i kedjan upp till rotcertifikatutfärdaren finns i X.509 PEM.

  3. Kopiera PKCS12-filen till /ddr/var/certificates/.

  4. Kör kommandot nedan för att importera värdcertifikatet.

    adminaccess certificate import host application system-management file <filename>

Se KB-artikeln nedan för att importera certifikaten via UI:
Data Domain – Hantera värdcertifikat för HTTP och HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.