Домен даних: Керування сертифікатами хостів для HTTP та HTTPS

Summary: Сертифікати хостів дозволяють браузерам і додаткам підтверджувати ідентифікацію системи домену даних під час встановлення безпечних сесій управління. HTTPS увімкнений за замовчуванням. Система може використовувати або самопідписаний сертифікат, або імпортований сертифікат від довіреного центру сертифікації (CA). У цій статті пояснюється, як перевіряти, генерувати, запитувати, імпортувати та видаляти сертифікати для HTTP/HTTPS у системах домену даних. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Сертифікати можуть втратити термін дії або стати недійсними. Якщо сертифікат не імпортовано, система використовує самопідписаний сертифікат, якому браузери або інтегровані програми можуть не довіряти.


  1. Перевірте наявні сертифікати.

У домені даних (DD-CLI) виконайте таку команду для перегляду встановлених сертифікатів:

adminaccess certificate show

Якщо сертифікати прострочені або наближаються до завершення:

  • Якщо самопідписано, регенеруйте за допомогою DD-CLI
  • Якщо імпортовано, дотримуйтесь нижче кроків CSR та імпорту.
    1. Генеруйте самопідписані сертифікати.

    Щоб відновити сертифікат HTTPS:

    adminaccess certificate generate self-signed-cert
    

    Для відновлення сертифікатів HTTPS та довірених CA:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Генерація запиту на підписання сертифікатів (CSR)

    Використовуйте DD System Manager:

    1. Встановіть пароль, якщо ще не зроблено:
    system passphrase set
    
    1. Перейдіть у розділ Адміністративний > доступ >до адміністрування.
    2. Виберіть вкладку HTTPS > Налаштувати > сертифікат > Додати.
    3. Натисніть Generate the CSR для цієї системи домену даних.
    4. Заповніть форму CSR і завантажте файл з:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Альтернативний приклад CLI:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Імпортний підписаний сертифікат

    Використовуйте DD System Manager:

    1. Вибрати Доступ до адміністрування >> Доступ доадміністратора
    2. У розділі «Послуги» виберіть HTTPS і натисніть «Налаштувати»
    3. Виберіть вкладку Сертифікат
    4. Натисніть Додати. З'являється діалог «Завантаження»:
    • Для .p12 Файл:
      • Виберіть Завантажити сертифікат як .p12 Введіть пароль, переглядайте і завантажуйте.
      • Приклад для .p12 Відбір:
    Завантажити сертифікат як файл p12
    • Для .pem Файл:
      • Виберіть Завантажити публічний ключ як .pem Файл і використання згенерованого приватного ключа, переглядання та завантаження.

    Альтернатива DD CLI: Див. статтю «Домен даних»: Як згенерувати запит на підписання сертифіката та використовувати зовнішні підписані сертифікати

    1. Видалити існуючий сертифікат.

    Перед додаванням нового сертифіката видаліть поточний сертифікат:

      1. Перейдіть на вкладку Адміністратор > доступу > до адміністрування Доступ > до HTTPS > Налаштувати > сертифікат.
      2. Виберіть сертифікат і натисніть Видалити.

     

    1. Валідація КСВ

    Перевірте CSR за допомогою командного рядка Windows:

    certutil -dump <CSR file path>
    1. Діагностика: Браузер показує «Сертифікат недовірений» після імпорту сертифіката, підписаного CA

    Якщо браузер відображає попередження «сертифікат недовірений» або «з'єднання не є безпечним» після імпорту сертифіката, підписаного CA, імпортований файл PEM або P12 може відсутній проміжний сертифікат(ів) CA у ланцюжку сертифікатів.

    Причина: Коли імпортований файл містить лише листний (серверний) сертифікат без проміжного сертифіката CA, домен даних обслуговує неповний ланцюг сертифікатів. Деякі настільні браузери можуть автоматично відновлювати відсутні проміжні елементи, але мобільні пристрої, системи моніторингу та операції довіри від DD до DD можуть не працювати.

    Перевірте ланцюжок сертифікатів:

    На робочій станції з встановленим OpenSSL перевірте PEM-файл перед імпортом:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Ця команда перелічує всі сертифікати у файлі. Повний ланцюг має включати:

    • Сертифікат листа (сервера) (предмет CN, що відповідає DD hostname/FQDN)
    • Один або кілька проміжних сертифікатів CA
    • Опціонально — кореневий сертифікат CA

    Якщо присутній лише листковий сертифікат, ланцюг є неповним.

    Розв'язка:

    1. Отримайте проміжні сертифікати CA від команди корпоративного сертифікаційного центру.

    2. Об'єднайте сертифікати в один PEM-файл у наступному порядку:

      • Сертифікат листа (перший)
      • Проміжні сертифікати CA (у ланцюжковому порядку)
      • Сертифікат кореневого CA (останній, опціональний)
    3. Видалити поточний імпортований сертифікат із домену даних:

      adminaccess certificate delete imported-host application https
      
    4. Імпортуйте відновлений PEM-файл, що містить повний ланцюг, використовуючи процедури GUI або CLI, описані в розділі 4 вище.

    Примітка. Приватні та публічні ключі мають бути 2048 біт. DDOS підтримує лише один сертифікат хоста для HTTPS одночасно. Якщо використовується формат .p12, переконайтеся, що файл PKCS#12 згенерований з повним ланцюгом сертифікатів.

    Additional Information

    • Приватні та публічні ключі мають бути 2048 біт.
    • DDOS підтримує лише активний CSR та підписаний сертифікат для HTTPS одночасно.

    Джерело: База розгортання: Домен даних: Як використовувати зовнішні підписані сертифікати

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.