Data Domain: Zarządzanie certyfikatami hosta dla HTTP i HTTPS

Summary: Certyfikaty hosta umożliwiają przeglądarkom i aplikacjom weryfikowanie tożsamości systemu Data Domain podczas ustanawiania bezpiecznych sesji zarządzania. Protokół HTTPS jest domyślnie włączony. System może używać certyfikatu z podpisem własnym lub certyfikatu zaimportowanego z zaufanego urzędu certyfikacji (CA). W tym artykule wyjaśniono, jak sprawdzać, generować, żądać, importować i usuwać certyfikaty dla protokołu HTTP/HTTPS w systemach Data Domain. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Certyfikaty mogą wygasnąć lub stać się nieważne. Jeśli certyfikat nie zostanie zaimportowany, system użyje certyfikatu z podpisem własnym, któremu przeglądarki lub zintegrowane aplikacje mogą nie ufać.


  1. Sprawdź istniejące certyfikaty.

W Data Domain (DD-CLI) uruchom następujące polecenie, aby wyświetlić zainstalowane certyfikaty:

adminaccess certificate show

Jeśli certyfikaty wygasły lub zbliżają się do końca:

  • W przypadku podpisu własnego wygeneruj ponownie przy użyciu DD-CLI
  • W przypadku importu postępuj zgodnie z poniższymi krokami CSR i importu.
    1. Generuj certyfikaty z podpisem własnym.

    Aby ponownie wygenerować certyfikat HTTPS:

    adminaccess certificate generate self-signed-cert
    

    Aby ponownie wygenerować certyfikaty HTTPS i zaufanych urzędów certyfikacji:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Generowanie żądania podpisania certyfikatu (CSR)

    Użyj DD System Manager:

    1. Ustaw hasło, jeśli jeszcze tego nie zrobiono:
    system passphrase set
    
    1. Przejdź do opcji Dostęp administratora dostępu > administracyjnego>.
    2. Wybierz kartę HTTPS > Configure > Certificate tab > Add.
    3. Kliknij opcję Wygeneruj CSR dla tego systemu Data Domain.
    4. Wypełnij formularz CSR i pobierz plik ze strony:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Alternatywny przykład interfejsu wiersza poleceń:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Importuj podpisany certyfikat

    Użyj DD System Manager:

    1. Wybierz dostęp >administracyjny >Dostęp administratora
    2. W obszarze Usługi wybierz opcję HTTPS i kliknij przycisk Konfiguruj
    3. Wybierz kartę Certificate
    4. Kliknij przycisk Dodaj. Pojawi się okno dialogowe przesyłania:
    • W przypadku .p12 serwera NetWorker Management Console (NMC):
      • Wybierz opcję Upload certificate as .p12 Plik, wprowadź hasło, przeglądaj i prześlij.
      • Przykład dla .p12 Wybór:
    Prześlij certyfikat jako.plik p12
    • W przypadku .pem serwera NetWorker Management Console (NMC):
      • Wybierz opcję Prześlij klucz publiczny jako .pem i użyj wygenerowanego klucza prywatnego, przeglądaj i prześlij.

    Alternatywa dla interfejsu CLI DD: Zapoznaj się z artykułem Data Domain: Generowanie żądania podpisania certyfikatu i korzystanie z certyfikatów podpisanych zewnętrznie

    1. Usuń istniejący certyfikat.

    Przed dodaniem nowego certyfikatu usuń bieżący certyfikat:

      1. Przejdź do karty Konfiguracja >> certyfikatu Dostęp administratora > dostępu > administracyjnego HTTPS>.
      2. Wybierz certyfikat i kliknij przycisk Delete.

     

    1. Weryfikacja CSR

    Zatwierdź CSR za pomocą wiersza polecenia systemu Windows:

    certutil -dump <CSR file path>
    1. Rozwiązywanie problemów: Przeglądarka wyświetla komunikat "Certificate untrusted" po zaimportowaniu certyfikatu podpisanego przez instytucję certyfikującą

    Jeśli przeglądarka wyświetla ostrzeżenie "certyfikat niezaufany" lub "połączenie nie jest bezpieczne" po zaimportowaniu certyfikatu podpisanego przez instytucję certyfikującą, może to oznaczać, że w zaimportowanym pliku PEM lub P12 brakuje certyfikatów pośredniego urzędu certyfikacji w łańcuchu certyfikatów.

    Przyczyna: Gdy zaimportowany plik zawiera tylko certyfikat liścia (serwera) bez certyfikatów pośredniego urzędu certyfikacji, Data Domain obsługuje niekompletny łańcuch certyfikatów. Niektóre przeglądarki komputerowe mogą automatycznie pobierać brakujące produkty pośrednie, ale urządzenia mobilne, systemy monitorowania i operacje zaufania DD do DD zakończą się niepowodzeniem.

    Sprawdź łańcuch certyfikatów:

    Na stacji roboczej z zainstalowanym OpenSSL sprawdź plik PEM przed importem:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    To polecenie umożliwia wyświetlenie wszystkich certyfikatów w pliku. Kompletny łańcuch powinien obejmować:

    • Certyfikat liścia (serwer) (CN podmiotu zgodny z nazwą hosta/FQDN DD)
    • Co najmniej jeden certyfikat pośredniego urzędu certyfikacji
    • Opcjonalnie certyfikat głównego urzędu certyfikacji

    Jeśli obecny jest tylko certyfikat liścia, łańcuch jest niekompletny.

    Rozwiązanie:

    1. Uzyskaj certyfikaty pośredniego urzędu certyfikacji od zespołu urzędu certyfikacji przedsiębiorstwa.

    2. Połącz certyfikaty w jeden plik PEM w następującej kolejności:

      • Certyfikat liścia (pierwszy)
      • Pośrednie certyfikaty CA (w kolejności łańcuchowej)
      • Certyfikat głównego urzędu certyfikacji (ostatni, opcjonalny)
    3. Usuń bieżący zaimportowany certyfikat z Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Zaimportuj zrekonstruowany plik PEM zawierający pełny łańcuch przy użyciu procedur GUI lub CLI opisanych w sekcji 4 powyżej.

    Uwaga: Klucze prywatne i publiczne muszą mieć 2048 bitów . DDOS obsługuje jednocześnie tylko jeden certyfikat hosta dla protokołu HTTPS. Jeśli używany jest format .p12, upewnij się, że plik PKCS#12 został wygenerowany z dołączonym pełnym łańcuchem certyfikatów.

    Additional Information

    • Klucze prywatne i publiczne muszą mieć 2048 bitów.
    • DDOS obsługuje jednocześnie tylko aktywne żądanie CSR i podpisany certyfikat dla protokołu HTTPS.

    Źródło: Wdrażanie pakietu KB: Data Domain: Jak korzystać z certyfikatów podpisanych zewnętrznie

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.