Data Domain: Managen von Hostzertifikaten für HTTP und HTTPS

Summary: Hostzertifikate ermöglichen es Browsern und Anwendungen, die Identität eines Data Domain-Systems bei der Einrichtung sicherer Managementsitzungen zu überprüfen. HTTPS ist standardmäßig aktiviert. Das System kann entweder ein selbstsigniertes Zertifikat oder ein importiertes Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) verwenden. In diesem Artikel wird erläutert, wie Sie Zertifikate für HTTP/HTTPS auf Data Domain-Systemen überprüfen, erzeugen, anfordern, importieren und löschen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Zertifikate laufen möglicherweise ab oder werden ungültig. Wenn kein Zertifikat importiert wird, verwendet das System ein selbstsigniertes Zertifikat, dem Browser oder integrierte Anwendungen möglicherweise nicht vertrauen.


  1. Überprüfen Sie die vorhandenen Zertifikate.

Führen Sie auf der Data Domain (DD-CLI) den folgenden Befehl aus, um installierte Zertifikate anzuzeigen:

adminaccess certificate show

Wenn Zertifikate abgelaufen sind oder demnächst ablaufen:

  • Bei Selbstsignierung mit DD-CLI neu generieren
  • Befolgen Sie nach dem Import die folgenden Schritte für CSR und Import.
    1. Selbstsignierte Zertifikate erstellen.

    So erzeugen Sie das HTTPS-Zertifikat neu:

    adminaccess certificate generate self-signed-cert
    

    So erzeugen Sie HTTPS- und vertrauenswürdige CA-Zertifikate neu:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Erstellen einer Zertifikatsignieranforderung (CSR)

    Verwenden Sie DD System Manager:

    1. Legen Sie eine Passphrase fest, falls dies nicht bereits geschehen ist:
    system passphrase set
    
    1. Navigieren Sie zu Administration > Access > Administrator Access.
    2. Wählen Sie Registerkarte > HTTPS > Configure > Certificate Add aus.
    3. Klicken Sie auf CSR für dieses Data Domain-System generieren.
    4. Füllen Sie das CSR-Formular aus und laden Sie die Datei herunter von:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    CLI-Alternativbeispiel:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Signiertes Zertifikat importieren

    Verwenden Sie DD System Manager:

    1. Wählen Sie Administration >Access > Administrator Access aus.
    2. Wählen Sie im Bereich Services HTTPS aus und klicken Sie auf Configure.
    3. Wählen Sie die Registerkarte Zertifikat aus
    4. Klicken Sie auf Add. Ein Dialogfeld zum Hochladen wird angezeigt:
    • Für .p12 Datei:
      • Wählen Sie Zertifikat hochladen aus als .p12 Datei, geben Sie das Kennwort ein, durchsuchen Sie es und laden Sie es hoch.
      • Beispiel für .p12 Auswahl:
    Zertifikat als p12-Datei hochladen
    • Für .pem Datei:
      • Wählen Sie Upload public key aus als .pem Datei und verwenden Sie den generierten privaten Schlüssel, durchsuchen Sie ihn und laden Sie ihn hoch.

    Alternative zur DD CLI: Weitere Informationen finden Sie im Artikel Data Domain: So erzeugen Sie eine Zertifikatsignieranforderung und verwenden extern signierte Zertifikate

    1. Vorhandenes Zertifikat löschen.

    Bevor Sie ein neues Zertifikat hinzufügen, löschen Sie das aktuelle Zertifikat:

      1. Navigieren Sie zur Registerkarte Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
      2. Wählen Sie das Zertifikat aus und klicken Sie auf Löschen.

     

    1. CSR-Validierung

    CSR mit der Windows-Eingabeaufforderung validieren:

    certutil -dump <CSR file path>
    1. Troubleshooting: Browser zeigt "Zertifikat nicht vertrauenswürdig" nach dem Import eines von der Zertifizierungsstelle signierten Zertifikats an

    Wenn der Browser nach dem Importieren eines von einer Zertifizierungsstelle signierten Zertifikats die Warnung "Zertifikat nicht vertrauenswürdig" oder "Verbindung ist nicht sicher" anzeigt, fehlen in der importierten PEM- oder P12-Datei möglicherweise die CA-Zwischenzertifikate in der Zertifikatkette.

    Ursache: Wenn die importierte Datei nur das Blattzertifikat (Serverzertifikat) ohne das/die CA-Zwischenzertifikat(e) enthält, stellt Data Domain eine unvollständige Zertifikatkette bereit. Einige Desktop-Browser rufen möglicherweise automatisch fehlende Zwischenprodukte ab, aber mobile Geräte, Überwachungssysteme und DD-zu-DD-Vertrauensvorgänge schlagen fehl.

    Überprüfen Sie die Zertifikatkette:

    Überprüfen Sie auf einer Workstation, auf der OpenSSL installiert ist, die PEM-Datei vor dem Import:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Dieser Befehl listet alle Zertifikate in der Datei auf. Eine vollständige Kette sollte Folgendes umfassen:

    • Das Leaf-Zertifikat (Serverzertifikat) (Betreff-CN, der mit dem DD-Hostnamen/-FQDN übereinstimmt)
    • Ein oder mehrere CA-Zwischenzertifikate
    • Optional kann das Stammzertifizierungsstellenzertifikat

    Wenn nur das untergeordnete Zertifikat vorhanden ist, ist die Kette unvollständig.

    Lösung:

    1. Beziehen Sie das/die CA-Zwischenzertifikat(e) vom Team der Unternehmenszertifizierungsstelle.

    2. Verketten Sie die Zertifikate in der folgenden Reihenfolge in einer einzigen PEM-Datei:

      • Leaf-Zertifikat (zuerst)
      • CA-Zwischenzertifikat(e) (in Kettenreihenfolge)
      • Stammzertifizierungsstellenzertifikat (aktuelles, optionales)
    3. Löschen Sie das aktuell importierte Zertifikat aus der Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importieren Sie die rekonstruierte PEM-Datei, die die gesamte Kette enthält, mithilfe der GUI- oder CLI-Verfahren in Abschnitt 4 oben.

    Hinweis: Private und öffentliche Schlüssel müssen 2048 Bit lang sein. DDOS unterstützt jeweils nur ein Hostzertifikat für HTTPS. Wenn Sie das .p12-Format verwenden, stellen Sie sicher, dass die PKCS#12-Datei mit der vollständigen Zertifikatkette erzeugt wurde.

    Additional Information

    • Private und öffentliche Schlüssel müssen 2048 Bit lang sein.
    • DDOS unterstützt jeweils nur eine aktive CSR und ein signiertes Zertifikat für HTTPS.

    Referenz: Bereitstellungs-KB: Data Domain: Verwenden von extern signierten Zertifikaten

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.