Data Domain:管理 HTTP 和 HTTPS 主機憑證
Summary: 主機憑證可讓瀏覽器和應用程式在建立安全管理工作階段時,驗證 Data Domain 系統的身份。HTTPS 預設為啟用。系統可以使用自我簽署憑證,或從受信任的認證機構 (CA) 匯入的憑證。本文說明如何在 Data Domain 系統上檢查、產生、要求、匯入和刪除 HTTP/HTTPS 憑證。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
憑證可能會到期或失效。如果沒有導入證書,系統將使用自簽名證書,瀏覽器或集成應用程式可能不信任該證書。
- 檢查現有憑證。
在 Data Domain (DD-CLI) 上執行下列命令以檢視已安裝的憑證:
adminaccess certificate show
如果憑證已到期或即將到期:
- 若 為自我簽署,請使用 DD-CLI 重新產生
- 如果已匯入,請依照下列 CSR 和匯入步驟操作。
- 產生自我簽署憑證。
若要重新產生 HTTPS 憑證:
adminaccess certificate generate self-signed-cert
若要重新產生 HTTPS 和受信任的 CA 憑證:
adminaccess certificate generate self-signed-cert regenerate-ca
- 產生憑證簽章要求 (CSR)
使用 DD System Manager:
- 設定密碼片語 (若尚未完成):
system passphrase set
- 前往 管理 > 存取 > 權系統管理員存取權。
- 選取 HTTPS > 設定 > 憑證標籤 > 新增。
- 按一下 產生此 Data Domain 系統的 CSR。
- 填妥 CSR 表格,並從以下位置下載檔案:
/ddvar/certificates/CertificateSigningRequest.csr
CLI 替代範例:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- 匯入簽署的憑證
使用 DD System Manager:
- 選取管理 >存取權 > 管理員存取權
- 在「服務」區域中,選取 HTTPS ,然後按一下 「設定」
- 選取憑證 標籤
- 按一下「新增」。隨即會顯示上傳對話方塊:
- 適用於
.p12檔案:- 選取 上傳憑證做為
.p12檔案、輸入密碼、瀏覽和上傳。 - 範例
.p12選擇:
- 選取 上傳憑證做為
- 適用於
.pem檔案:- 選取 上傳公開金鑰作為
.pem檔並使用生成的私鑰,流覽和上傳。
- 選取 上傳公開金鑰作為
DD CLI 替代方案:請參閱文章 Data Domain:如何產生憑證簽署要求和使用外部簽署憑證
- 刪除現有憑證。
在新增憑證之前,請先刪除目前的憑證:
-
- 前往 管理 > 存取 > 系統管理員存取 > HTTPS > 設定 > 憑證標籤。
- 選取憑證,然後按一下 刪除。
- CSR 驗證
使用 Windows 命令提示字元驗證 CSR:
certutil -dump <CSR file path>
- 故障診斷:CA 簽署的憑證匯入後,瀏覽器顯示「憑證不受信任」
如果在導入 CA 簽名證書後瀏覽器顯示「證書不受信任」或「連接不安全」警告,則導入的 PEM 或 P12 檔可能缺少證書鏈中的中間 CA 證書。
Cause: 若匯入的檔案僅包含分葉 (伺服器) 憑證,而沒有中繼 CA 憑證,Data Domain 將提供不完整的憑證鏈。某些桌面瀏覽器可能會自動檢索缺少的中間元件,但行動裝置、監控系統和 DD 對 DD 信任作業將會失敗。
驗證憑證鏈結:
在安裝了 OpenSSL 的工作站上,在導入之前檢查 PEM 檔:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
此命令會列出檔案中的所有憑證。完整的鏈條應包括:
- Leaf (伺服器) 憑證 (與 DD 主機名稱/FQDN 相符的消費者 CN)
- 一個或多個中間 CA 憑證
- 或者,根 CA 憑證
如果僅存在葉證書,則鏈不完整。
解決方案:
-
從企業證書頒發機構團隊獲取中間 CA 證書。
-
依下列順序,將憑證串聯為單一 PEM 檔案:
- Leaf 憑證 (第一個)
- 中間 CA 憑證(按鏈順序)
- 根 CA 憑證 (最後,選用)
-
從 Data Domain 刪除目前匯入的憑證:
adminaccess certificate delete imported-host application https -
使用上述第 4 節中的 GUI 或 CLI 程序,匯入重建的 PEM 檔案,其中包含完整鏈結。
注意:私鑰和公鑰必須是 2048 位。DDOS 一次只支援一個 HTTPS 主機憑證。如果使用 .p12 格式,請確保生成 PKCS#12 檔時包含完整的證書鏈。
Additional Information
- 私鑰和公鑰必須為 2048 位。
- DDOS 一次僅支援 作用中 CSR 和 HTTPS 的簽署憑證 。
Affected Products
Data DomainArticle Properties
Article Number: 000205198
Article Type: How To
Last Modified: 07 Jul 2026
Version: 9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.