Data Domain: Hantera värdcertifikat för HTTP och HTTPS
Summary: Värdcertifikat gör det möjligt för webbläsare och program att verifiera identiteten för ett Data Domain-system när de upprättar säkra hanteringssessioner. HTTPS är aktiverat som standard. Systemet kan använda antingen ett självsignerat certifikat eller ett importerat certifikat från en betrodd certifikatutfärdare (CA). I den här artikeln beskrivs hur du kontrollerar, genererar, begär, importerar och tar bort certifikat för HTTP/HTTPS på Data Domain-system. ...
Instructions
Certifikat kan upphöra att gälla eller bli ogiltiga. Om inget certifikat importeras använder systemet ett självsignerat certifikat som webbläsare eller integrerade program kanske inte litar på.
- Kontrollera befintliga certifikat.
På Data Domain (DD-CLI) kör du följande kommando för att visa installerade certifikat:
adminaccess certificate show
Om certifikat har upphört att gälla eller snart upphör att gälla:
- Om det är självsignerat återskapar du med DD-CLI
- Om det har importerats följer du CSR- och importstegen nedan.
- Generera självsignerade certifikat.
Så här återskapar du HTTPS-certifikatet:
adminaccess certificate generate self-signed-cert
Så här återskapar du HTTPS och betrodda CA-certifikat:
adminaccess certificate generate self-signed-cert regenerate-ca
- Generera en CSR-begäran (Certificate Signing Request)
Använd DD System Manager:
- Ange en lösenfras om du inte redan har gjort det:
system passphrase set
- Gå till Administratörsåtkomst > för administratörsåtkomst>.
- Välj fliken HTTPS > Konfigurera > certifikat Lägg > till.
- Klicka på Generera CSR för det här Data Domain-systemet.
- Fyll i CSR-formuläret och ladda ner filen från:
/ddvar/certificates/CertificateSigningRequest.csr
Alternativt CLI-exempel:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Importera signerat certifikat
Använd DD System Manager:
- Välj Administration >Åtkomst > Enadministratör Åtkomst
- I området Tjänster väljer du HTTPS och klickar på Konfigurera
- Välj fliken Certifikat
- Klicka på Lägg till. Dialogrutan Överför visas:
- Vid frågor om
.p12Filen:- Välj Ladda upp certifikat som
.p12anger du lösenord, bläddrar och laddar upp. - Exempel på
.p12Urval:
- Välj Ladda upp certifikat som
- Vid frågor om
.pemFilen:- Välj Ladda upp offentlig nyckel som
.pemfil och använd genererad privat nyckel, bläddra och ladda upp.
- Välj Ladda upp offentlig nyckel som
DD CLI-alternativ: Mer information finns i artikeln Data Domain: Så här genererar du en begäran om certifikatsignering och använder externt signerade certifikat
- Ta bort befintligt certifikat.
Ta bort det aktuella certifikatet innan du lägger till ett nytt certifikat:
-
- Gå till fliken Administration > åtkomst > till administratör > åtkomst HTTPS > Konfigurera > certifikat.
- Välj certifikat och klicka på Ta bort.
- CSR-validering
Validera CSR med hjälp av Windows-kommandotolken:
certutil -dump <CSR file path>
- Felsökning: Webbläsaren visar "Certifikatet är inte betrott" efter import av CA-signerat certifikat
Om webbläsaren visar varningen "certifikatet är inte betrott" eller "anslutningen är inte säker" efter att du har importerat ett CA-signerat certifikat kan det hända att den importerade PEM- eller P12-filen saknar mellanliggande CA-certifikat i certifikatkedjan.
Orsak: När den importerade filen endast innehåller lövcertifikatet (servercertifikatet) utan mellanliggande CA-certifikat, fungerar Data Domain som en ofullständig certifikatkedja. Vissa webbläsare på stationära datorer kan automatiskt hämta saknade mellanprodukter, men mobila enheter, övervakningssystem och DD-till-DD-förtroendeåtgärder misslyckas.
Verifiera certifikatkedjan:
På en arbetsstation med OpenSSL installerat kontrollerar du PEM-filen före import:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Det här kommandot visar en lista över alla certifikat i filen. En komplett kedja bör innehålla:
- Lövcertifikatet (server) (ämnes-CN som matchar DD-värdnamnet/FQDN)
- Ett eller flera mellanliggande CA-certifikat
- Du kan också använda rotcertifikatutfärdarcertifikatet
Om endast lövcertifikatet finns är kedjan ofullständig.
Lösning:
-
Hämta mellanliggande CA-certifikat från företagets certifikatutfärdarteam.
-
Sammanfoga certifikaten till en enda PEM-fil i följande ordning:
- Lövcertifikat (första)
- Mellanliggande CA-certifikat (i kedjeordning)
- Rotcertifikatutfärdarcertifikat (sista, valfritt)
-
Ta bort det aktuella importerade certifikatet från Data Domain:
adminaccess certificate delete imported-host application https -
Importera den rekonstruerade PEM-filen som innehåller hela kedjan med hjälp av GUI- eller CLI-förfarandena i avsnitt 4 ovan.
Additional Information
- Privata och offentliga nycklar måste vara 2048 bitar.
- DDOS stöder endast en aktiv CSR och ett signerat certifikat för HTTPS åt gången.
Referens: Distributions-KB: Data Domain: Så här använder du externt signerade certifikat