Data Domain: HTTP 및 HTTPS의 호스트 인증서 관리
Summary: 호스트 인증서를 사용하면 브라우저와 애플리케이션에서 보안 관리 세션을 설정할 때 Data Domain 시스템의 ID를 확인할 수 있습니다. HTTPS는 기본적으로 활성화되어 있습니다. 시스템은 자체 서명된 인증서 또는 신뢰할 수 있는 CA(Certificate Authority)에서 가져온 인증서를 사용할 수 있습니다. 이 문서에서는 Data Domain 시스템에서 HTTP/HTTPS에 대한 인증서를 확인, 생성, 요청, 가져오기 및 삭제하는 방법에 대해 설명합니다. ...
Instructions
인증서가 만료되거나 무효화될 수 있습니다. 인증서를 가져오지 않으면 시스템은 브라우저나 통합 애플리케이션이 신뢰하지 않을 수 있는 자체 서명된 인증서를 사용합니다.
- 기존 인증서를 확인합니다.
Data Domain(DD-CLI)에서 다음 명령을 실행하여 설치된 인증서를 확인합니다.
adminaccess certificate show
인증서가 만료되었거나 만료가 임박한 경우:
- 자체 서명된 경우 DD-CLI를 사용하여 재생성합니다.
- 가져온 경우 아래의 CSR 및 가져오기 단계를 따릅니다.
- 자체 서명된 인증서를 생성합니다.
HTTPS 인증서를 재생성하려면 다음을 수행합니다.
adminaccess certificate generate self-signed-cert
HTTPS 및 신뢰할 수 있는 CA 인증서를 재생성하려면 다음을 수행합니다.
adminaccess certificate generate self-signed-cert regenerate-ca
- CSR(Certificate Signing Request) 생성
DD System Manager 사용:
- 비밀번호 문구를 설정합니다(아직 설정하지 않은 경우).
system passphrase set
- AdministrationAccessAdministrator >> Access로 이동합니다.
- HTTPS > 인증서 구성 > 탭 > 추가를 선택합니다.
- Generate the CSR for this Data Domain system을 클릭합니다.
- CSR 양식을 작성하고 다음 위치에서 파일을 다운로드합니다.
/ddvar/certificates/CertificateSigningRequest.csr
CLI 대체 예:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- 서명된 인증서 가져오기
DD System Manager 사용:
- AdministrationAccess >> 관리자액세스를 선택합니다.
- Services 영역에서 HTTPS를 선택하고 Configure를 클릭합니다
- Certificate 탭을 선택합니다.
- Add를 클릭합니다. 업로드 대화 상자가 나타납니다.
- 기술 지원 상담원은
.p12파일에 식별되어 있습니다.- Upload certificate as를 선택합니다 .
.p12파일, 암호 입력, 탐색 및 업로드. - 예시
.p12선택:
- Upload certificate as를 선택합니다 .
- 기술 지원 상담원은
.pem파일에 식별되어 있습니다.- Upload public key as를 선택합니다 .
.pem생성된 개인 키를 파일 및 사용, 탐색 및 업로드합니다.
- Upload public key as를 선택합니다 .
DD CLI 대안: 다음 문서를 참조하십시오. Data Domain: 인증서 서명 요청을 생성하고 외부에서 서명된 인증서를 사용하는 방법
- 기존 인증서를 삭제합니다.
새 인증서를 추가하기 전에 현재 인증서를 삭제합니다.
-
- AdministrationAccessAdministrator >> AccessHTTPS >> Configure > Certificate 탭으로 이동합니다.
- 인증서를 선택하고 Delete를 클릭합니다.
- CSR 검증
Windows 명령 프롬프트를 사용하여 CSR을 검증합니다.
certutil -dump <CSR file path>
- 문제 해결: CA 서명 인증서를 가져온 후 브라우저에 "Certificate Untrusted"가 표시됨
CA 서명 인증서를 가져온 후 브라우저에 "인증서를 신뢰할 수 없음" 또는 "연결이 안전하지 않음" 경고가 표시되면 가져온 PEM 또는 P12 파일에 인증서 체인의 중간 CA 인증서가 누락되었을 수 있습니다.
원인: 가져온 파일에 중간 CA 인증서 없이 리프(서버) 인증서만 포함된 경우 Data Domain은 불완전한 인증서 체인을 제공합니다. 일부 데스크톱 브라우저는 누락된 중간자를 자동으로 검색할 수 있지만 모바일 디바이스, 모니터링 시스템 및 DD 간 신뢰 작업은 실패합니다.
인증서 체인을 확인합니다.
OpenSSL이 설치된 워크스테이션에서 가져오기 전에 PEM 파일을 검사합니다.
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
이 명령은 파일에 있는 모든 인증서를 나열합니다. 전체 체인에는 다음이 포함되어야 합니다.
- 리프(서버) 인증서(DD 호스트 이름/FQDN과 일치하는 주체 CN)
- 하나 이상의 중간 CA 인증서
- 선택적으로 루트 CA 인증서
리프 인증서만 있는 경우 체인이 불완전합니다.
해결 방법:
-
엔터프라이즈 인증 기관 팀에서 중간 CA 인증서를 가져옵니다.
-
다음 순서에 따라 인증서를 단일 PEM 파일로 연결합니다.
- 리프 인증서(첫 번째)
- 중간 CA 인증서(체인 순서)
- 루트 CA 인증서(마지막, 선택 사항)
-
Data Domain에서 현재 가져온 인증서를 삭제합니다.
adminaccess certificate delete imported-host application https -
위 섹션 4의 GUI 또는 CLI 절차를 사용하여 전체 체인이 포함된 재구성된 PEM 파일을 가져옵니다.
Additional Information
- 개인 키와 공개 키는 2048비트여야 합니다.
- DDOS는 한 번에 HTTPS에 대해 활성 CSR 및 서명된 인증서 만 지원합니다.