Data Domain: HTTP- ja HTTPS-isäntävarmenteiden hallinta
Summary: Isäntävarmenteiden avulla selaimet ja sovellukset voivat vahvistaa Data Domain -järjestelmän identiteetin suojattuja hallintaistuntoja muodostettaessa. HTTPS on oletuksena käytössä. Järjestelmä voi käyttää joko itse allekirjoitettua varmennetta tai tuotua varmennetta luotetulta varmenteiden myöntäjältä (CA). Tässä artikkelissa kerrotaan, miten voit tarkistaa, luoda, pyytää, tuoda ja poistaa HTTP/HTTPS-varmenteita Data Domain -järjestelmissä. ...
Instructions
Varmenteet voivat vanhentua tai mitätöityä. Jos varmennetta ei tuoda, järjestelmä käyttää itse allekirjoitettua varmennetta, johon selaimet tai integroidut sovellukset eivät välttämättä luota.
- Tarkista olemassa olevat varmenteet.
Katso asennetut varmenteet Data Domainissa (DD-CLI) seuraavalla komennolla:
adminaccess certificate show
Jos varmenteet ovat vanhentuneet tai vanhentumassa:
- Jos olet itse allekirjoittanut, luo se uudelleen DD-komentoriviliittymällä
- Jos tuote tuodaan, noudata alla olevia CSR- ja tuontivaiheita.
- Luo itse allekirjoitettuja varmenteita.
HTTPS-varmenteen luominen uudelleen:
adminaccess certificate generate self-signed-cert
HTTPS- ja luotettujen CA-varmenteiden luominen:
adminaccess certificate generate self-signed-cert regenerate-ca
- Luo varmenteen allekirjoituspyyntö (CSR)
DD System Managerin käyttäminen:
- Aseta salasana, jos et ole vielä tehnyt sitä:
system passphrase set
- Siirry kohtaan Järjestelmänvalvojan > oikeudet>.
- Valitse HTTPS > Configure > Certificate -välilehti > Add.
- Valitse Luo tämän Data Domain -järjestelmän CSR.
- Täytä CSR-lomake ja lataa tiedosto osoitteesta:
/ddvar/certificates/CertificateSigningRequest.csr
Esimerkki vaihtoehtoisesta komentoriviliittymästä:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Allekirjoitetun varmenteen tuominen
DD System Managerin käyttäminen:
- Valitse järjestelmänvalvojan >käyttöoikeudet Järjestelmänvalvojan käyttöoikeudet>
- Valitse Palvelut-alueella HTTPS ja valitse Määritä
- Valitse Certificate-välilehti
- Valitse Add. Näyttöön tulee Lataa-valintaikkuna:
- Ongelmissa, jotka koskevat
.p12Tiedosto:- Valitse Lataa varmenne muodossa
.p12Tiedosto, kirjoita salasana, selaa ja lataa. - Esimerkki
.p12Valinta:
- Valitse Lataa varmenne muodossa
- Ongelmissa, jotka koskevat
.pemTiedosto:- Valitse Lataa julkinen avain muodossa
.pemTiedosto ja käytä luotua yksityistä avainta, selaa ja lataa.
- Valitse Lataa julkinen avain muodossa
DD CLI -vaihtoehto: Katso artikkeli Data Domain: Varmenteen allekirjoituspyynnön luominen ja ulkoisesti allekirjoitettujen varmenteiden käyttäminen
- Poista olemassa oleva varmenne.
Ennen kuin lisäät uuden varmenteen, poista nykyinen varmenne:
-
- Siirry Järjestelmänvalvojan > oikeudet > -järjestelmänvalvojan oikeudet > HTTPS > :n määritysvarmenteeseen > -välilehti.
- Valitse varmenne ja napsauta Poista.
- CSR-vahvistus
Vahvista CSR Windowsin komentokehotteessa:
certutil -dump <CSR file path>
- Vianmääritys: Selaimessa näkyy "Certificate untrusted", kun varmenteen myöntäjän allekirjoittama varmenne on tuotu
Jos selain näyttää varmenteen myöntäjän allekirjoittaman varmenteen tuomisen jälkeen varoituksen "certificate not trusted" tai "connection is not secure", tuodusta PEM- tai P12-tiedostosta saattaa puuttua varmenteiden välivarmenteiden ketjusta.
Cause: Kun tuotu tiedosto sisältää vain lehtivarmenteen (palvelimen) ilman CA-välivarmenteita, Data Domain näyttää epätäydellisen varmenneketjun. Jotkin työpöytäselaimet saattavat hakea puuttuvat välituotteet automaattisesti, mutta mobiililaitteet, valvontajärjestelmät ja DD:stä DD:hen -luottamustoiminnot epäonnistuvat.
Tarkista varmenneketju:
Jos työasemaan on asennettu OpenSSL, tarkista PEM-tiedosto ennen tuontia:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Tässä komennossa luetellaan kaikki tiedoston varmenteet. Koko ketjun tulisi sisältää:
- Leaf (palvelin) -varmenne (aihe: CN, joka vastaa DD-isäntänimeä/FQDN:ää)
- Yksi tai useampi välimuototodistuksen CA-todistus
- Vaihtoehtoisesti CA-päävarmenne
Jos vain lehtivarmenne on läsnä, ketju on epätäydellinen.
Ratkaisu:
-
Hanki keskitason CA-varmenteet yrityksen varmenteiden myöntäjätiimiltä.
-
Yhdistä varmenteet yhteen PEM-tiedostoon seuraavassa järjestyksessä:
- Lehtisertifikaatti (ensimmäinen)
- Keskitason CA-sertifikaatit (ketjujärjestyksessä)
- Root CA -varmenne (viimeinen, valinnainen)
-
Poista nykyinen tuotu varmenne Data Domainista:
adminaccess certificate delete imported-host application https -
Tuo koko ketjun sisältävä rekonstruoitu PEM-tiedosto graafisen käyttöliittymän tai komentoriviliittymän menettelyillä edellä osassa 4.
Additional Information
- Yksityisten ja julkisten avainten on oltava 2048 bittiä.
- DDOS tukee vain aktiivista CSR:ää ja allekirjoitettua HTTPS-varmennetta kerrallaan.
Viite: Käyttöönotto-KB: Data Domain: Ulkoisesti allekirjoitettujen varmenteiden käyttäminen