Data Domain: Administration af værtscertifikater for HTTP og HTTPS
Summary: Værtscertifikater gør det muligt for browsere og programmer at bekræfte identiteten af et Data Domain-system, når der oprettes sikre administrationssessioner. HTTPS er aktiveret som standard. Systemet kan enten bruge et selvsigneret certifikat eller et importeret certifikat fra et nøglecenter, der er tillid til. I denne artikel forklares det, hvordan du kontrollerer, genererer, anmoder om, importerer og sletter certifikater for HTTP/HTTPS på Data Domain-systemer. ...
Instructions
Certifikater kan udløbe eller blive ugyldige. Hvis der ikke importeres et certifikat, bruger systemet et selvsigneret certifikat, som browsere eller integrerede programmer muligvis ikke har tillid til.
- Kontroller eksisterende certifikater.
På Data Domain (DD-CLI) skal du køre følgende kommando for at få vist installerede certifikater:
adminaccess certificate show
Hvis certifikaterne er udløbet eller nærmer sig udløb:
- Hvis du er selvsigneret, skal du regenerere ved hjælp af DD-CLI
- Hvis importeret, skal du følge CSR- og importtrinnene nedenfor.
- Generer selvsignerede certifikater.
Sådan regenereres HTTPS-certifikatet:
adminaccess certificate generate self-signed-cert
Sådan regenererer du HTTPS og pålidelige CA-certifikater:
adminaccess certificate generate self-signed-cert regenerate-ca
- Generer en anmodning om certifikatsignering (CSR)
Brug DD System Manager:
- Angiv en adgangssætning, hvis den ikke allerede er udført:
system passphrase set
- Gå til > Administration Access > Administrator Access.
- Vælg fanen Konfigurer certifikat for > HTTPS >>Tilføj.
- Klik på Generer CSR for dette Data Domain-system.
- Udfyld CSR-formularen og download filen fra:
/ddvar/certificates/CertificateSigningRequest.csr
Alternativt eksempel på CLI:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Importer signeret certifikat
Brug DD System Manager:
- Vælg administrationsadgang >> Enadministratoradgang
- Vælg HTTPS i området Tjenester, og klik på Konfigurer
- Vælg fanen Certifikat
- Klik på Tilføj. Der vises en dialogboks Upload:
- Til
.p12Fil:- Vælg Overfør certifikat som
.p12fil, indtast adgangskode, gennemse og upload. - Eksempel for
.p12Udvalg:
- Vælg Overfør certifikat som
- Til
.pemFil:- Vælg Upload offentlig nøgle som
.pemfil og brug genereret privat nøgle, gennemse og upload.
- Vælg Upload offentlig nøgle som
DD CLI-alternativ: Se artiklen Data Domain: Sådan genererer du en anmodning om certifikatsignering og bruger eksternt signerede certifikater
- Slet eksisterende certifikat.
Før du tilføjer et nyt certifikat, skal du slette det nuværende certifikat:
-
- Gå til Administration >> Access Administrator Access > HTTPS > Fanen Konfigurer > certifikat.
- Vælg certifikat, og klik på Slet.
- CSR-validering
Bekræft CSR ved hjælp af Windows-kommandoprompt:
certutil -dump <CSR file path>
- Fejlfinding: Browseren viser "Certifikat, der ikke er tillid til" efter import af CA-signeret certifikat
Hvis browseren viser advarslen "certifikat ikke tillid til" eller "forbindelsen er ikke sikker" efter import af et CA-signeret certifikat, mangler den importerede PEM- eller P12-fil muligvis mellemliggende CA-certifikater i certifikatkæden.
Årsag: Når den importerede fil kun indeholder bladcertifikatet (servercertifikatet) uden de(t) mellemliggende CA-certifikat(er), tjener Data Domain en ufuldstændig certifikatkæde. Nogle desktopbrowsere kan automatisk hente manglende mellemprodukter, men mobilenheder, overvågningssystemer og DD-til-DD-tillidshandlinger mislykkes.
Bekræft certifikatkæden:
På en arbejdsstation med OpenSSL installeret skal du kontrollere PEM-filen før import:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Denne kommando viser alle certifikater i filen. En komplet kæde skal indeholde:
- Bladcertifikatet (server) (emne CN, der matcher DD-værtsnavnet/FQDN)
- Et eller flere mellemliggende CA-certifikater
- Eventuelt rodnøglecentercertifikatet
Hvis kun bladcertifikatet er til stede, er kæden ufuldstændig.
Løsning:
-
Få de(t) mellemliggende CA-certifikat(er) fra Enterprise Certificate Authority-teamet.
-
Sammenkæd certifikaterne i en enkelt PEM-fil i følgende rækkefølge:
- Bladcertifikat (første)
- Mellemliggende CA-certifikat(er) (i kæderækkefølge)
- Root CA-certifikat (sidste, valgfri)
-
Slet det aktuelt importerede certifikat fra Data Domain:
adminaccess certificate delete imported-host application https -
Importer den rekonstruerede PEM-fil, der indeholder hele kæden, ved hjælp af GUI- eller CLI-procedurerne i afsnit 4 ovenfor.
Additional Information
- Private og offentlige nøgler skal være 2048 bit.
- DDOS understøtter kun en aktiv CSR og et signeret certifikat til HTTPS ad gangen.
Reference: KB-implementering: Data Domain: Sådan bruges eksternt signerede certifikater