Data Domain: Managen von Hostzertifikaten für HTTP und HTTPS
Summary: Hostzertifikate ermöglichen es Browsern und Anwendungen, die Identität eines Data Domain-Systems bei der Einrichtung sicherer Managementsitzungen zu überprüfen. HTTPS ist standardmäßig aktiviert. Das System kann entweder ein selbstsigniertes Zertifikat oder ein importiertes Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) verwenden. In diesem Artikel wird erläutert, wie Sie Zertifikate für HTTP/HTTPS auf Data Domain-Systemen überprüfen, erzeugen, anfordern, importieren und löschen. ...
Instructions
Zertifikate laufen möglicherweise ab oder werden ungültig. Wenn kein Zertifikat importiert wird, verwendet das System ein selbstsigniertes Zertifikat, dem Browser oder integrierte Anwendungen möglicherweise nicht vertrauen.
- Überprüfen Sie die vorhandenen Zertifikate.
Führen Sie auf der Data Domain (DD-CLI) den folgenden Befehl aus, um installierte Zertifikate anzuzeigen:
adminaccess certificate show
Wenn Zertifikate abgelaufen sind oder demnächst ablaufen:
- Bei Selbstsignierung mit DD-CLI neu generieren
- Befolgen Sie nach dem Import die folgenden Schritte für CSR und Import.
- Selbstsignierte Zertifikate erstellen.
So erzeugen Sie das HTTPS-Zertifikat neu:
adminaccess certificate generate self-signed-cert
So erzeugen Sie HTTPS- und vertrauenswürdige CA-Zertifikate neu:
adminaccess certificate generate self-signed-cert regenerate-ca
- Erstellen einer Zertifikatsignieranforderung (CSR)
Verwenden Sie DD System Manager:
- Legen Sie eine Passphrase fest, falls dies nicht bereits geschehen ist:
system passphrase set
- Navigieren Sie zu Administration > Access > Administrator Access.
- Wählen Sie Registerkarte > HTTPS > Configure > Certificate Add aus.
- Klicken Sie auf CSR für dieses Data Domain-System generieren.
- Füllen Sie das CSR-Formular aus und laden Sie die Datei herunter von:
/ddvar/certificates/CertificateSigningRequest.csr
CLI-Alternativbeispiel:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Signiertes Zertifikat importieren
Verwenden Sie DD System Manager:
- Wählen Sie Administration >Access > Administrator Access aus.
- Wählen Sie im Bereich Services HTTPS aus und klicken Sie auf Configure.
- Wählen Sie die Registerkarte Zertifikat aus
- Klicken Sie auf Add. Ein Dialogfeld zum Hochladen wird angezeigt:
- Für
.p12Datei:- Wählen Sie Zertifikat hochladen aus als
.p12Datei, geben Sie das Kennwort ein, durchsuchen Sie es und laden Sie es hoch. - Beispiel für
.p12Auswahl:
- Wählen Sie Zertifikat hochladen aus als
- Für
.pemDatei:- Wählen Sie Upload public key aus als
.pemDatei und verwenden Sie den generierten privaten Schlüssel, durchsuchen Sie ihn und laden Sie ihn hoch.
- Wählen Sie Upload public key aus als
Alternative zur DD CLI: Weitere Informationen finden Sie im Artikel Data Domain: So erzeugen Sie eine Zertifikatsignieranforderung und verwenden extern signierte Zertifikate
- Vorhandenes Zertifikat löschen.
Bevor Sie ein neues Zertifikat hinzufügen, löschen Sie das aktuelle Zertifikat:
-
- Navigieren Sie zur Registerkarte Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
- Wählen Sie das Zertifikat aus und klicken Sie auf Löschen.
- CSR-Validierung
CSR mit der Windows-Eingabeaufforderung validieren:
certutil -dump <CSR file path>
- Troubleshooting: Browser zeigt "Zertifikat nicht vertrauenswürdig" nach dem Import eines von der Zertifizierungsstelle signierten Zertifikats an
Wenn der Browser nach dem Importieren eines von einer Zertifizierungsstelle signierten Zertifikats die Warnung "Zertifikat nicht vertrauenswürdig" oder "Verbindung ist nicht sicher" anzeigt, fehlen in der importierten PEM- oder P12-Datei möglicherweise die CA-Zwischenzertifikate in der Zertifikatkette.
Ursache: Wenn die importierte Datei nur das Blattzertifikat (Serverzertifikat) ohne das/die CA-Zwischenzertifikat(e) enthält, stellt Data Domain eine unvollständige Zertifikatkette bereit. Einige Desktop-Browser rufen möglicherweise automatisch fehlende Zwischenprodukte ab, aber mobile Geräte, Überwachungssysteme und DD-zu-DD-Vertrauensvorgänge schlagen fehl.
Überprüfen Sie die Zertifikatkette:
Überprüfen Sie auf einer Workstation, auf der OpenSSL installiert ist, die PEM-Datei vor dem Import:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Dieser Befehl listet alle Zertifikate in der Datei auf. Eine vollständige Kette sollte Folgendes umfassen:
- Das Leaf-Zertifikat (Serverzertifikat) (Betreff-CN, der mit dem DD-Hostnamen/-FQDN übereinstimmt)
- Ein oder mehrere CA-Zwischenzertifikate
- Optional kann das Stammzertifizierungsstellenzertifikat
Wenn nur das untergeordnete Zertifikat vorhanden ist, ist die Kette unvollständig.
Lösung:
-
Beziehen Sie das/die CA-Zwischenzertifikat(e) vom Team der Unternehmenszertifizierungsstelle.
-
Verketten Sie die Zertifikate in der folgenden Reihenfolge in einer einzigen PEM-Datei:
- Leaf-Zertifikat (zuerst)
- CA-Zwischenzertifikat(e) (in Kettenreihenfolge)
- Stammzertifizierungsstellenzertifikat (aktuelles, optionales)
-
Löschen Sie das aktuell importierte Zertifikat aus der Data Domain:
adminaccess certificate delete imported-host application https -
Importieren Sie die rekonstruierte PEM-Datei, die die gesamte Kette enthält, mithilfe der GUI- oder CLI-Verfahren in Abschnitt 4 oben.
Additional Information
- Private und öffentliche Schlüssel müssen 2048 Bit lang sein.
- DDOS unterstützt jeweils nur eine aktive CSR und ein signiertes Zertifikat für HTTPS.
Referenz: Bereitstellungs-KB: Data Domain: Verwenden von extern signierten Zertifikaten