Data Domain: Správa certifikátů hostitele pro protokoly HTTP a HTTPS

Summary: Hostitelské certifikáty umožňují prohlížečům a aplikacím ověřit identitu systému Data Domain při vytváření zabezpečených relací správy. Protokol HTTPS je ve výchozím nastavení povolen. Systém může používat certifikát podepsaný držitelem nebo importovaný certifikát od důvěryhodné certifikační autority (CA). Tento článek vysvětluje, jak kontrolovat, generovat, požadovat, importovat a odstraňovat certifikáty pro protokoly HTTP/HTTPS v systémech Data Domain. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Platnost certifikátů může vypršet nebo se mohou stát neplatnými. Pokud není importován žádný certifikát, systém použije certifikát podepsaný držitelem, kterému prohlížeče nebo integrované aplikace nemusí důvěřovat.


  1. Zkontrolujte existující certifikáty.

V systému Data Domain (DD-CLI) spusťte následující příkaz pro zobrazení nainstalovaných certifikátů:

adminaccess certificate show

Pokud vyprší platnost certifikátů nebo se jejich platnost blíží:

  • Pokud jste podepsaní svým držitelem, znovu vygenerujte pomocí rozhraní DD-CLI.
  • V případě importu postupujte podle CSR a kroků importu.
    1. Generujte certifikáty podepsané svým držitelem.

    Opětovné vygenerování certifikátu HTTPS:

    adminaccess certificate generate self-signed-cert
    

    Opětovné vygenerování certifikátů HTTPS a důvěryhodných certifikačních autorit:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Vygenerování žádosti o podpis certifikátu (CSR)

    Použijte nástroj DD System Manager:

    1. Nastavte přístupové heslo, pokud jste to ještě neudělali:
    system passphrase set
    
    1. Přejděte do části Přístup >> správce Přístup správce.
    2. Vyberte možnost HTTPS > Configure > Certificate tab > Add.
    3. Klikněte na možnost Generovat CSR pro tento systém Data Domain.
    4. Vyplňte formulář CSR a stáhněte soubor ze stránky:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Příklad alternativy rozhraní příkazového řádku:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Importovat podepsaný certifikát

    Použijte nástroj DD System Manager:

    1. Vyberte přístup >ke správě > Přístupsprávce
    2. V oblasti Služby vyberte možnost HTTPS a klikněte na možnost Konfigurovat
    3. Vyberte kartu Certifikát.
    4. Klikněte na tlačítko Add. Zobrazí se dialogové okno Upload:
    • Pro .p12 :
      • Vyberte možnost Nahrát certifikát jako .p12 , zadejte heslo, procházejte a nahrávejte.
      • Příklad pro .p12 Výběr:
    Nahrát certifikát jako soubor .p12
    • Pro .pem :
      • Vyberte možnost Nahrát veřejný klíč jako .pem a použijte vygenerovaný privátní klíč, procházejte a nahrajte.

    Alternativa DD CLI: Viz článek Data Domain: Jak vygenerovat žádost o podpis certifikátu a použít externě podepsané certifikáty

    1. Odstranit existující certifikát.

    Před přidáním nového certifikátu odstraňte aktuální certifikát:

      1. Přejděte na kartu Přístup >> správce >> HTTPS Configure > Certificate.
      2. Vyberte certifikát a klikněte na tlačítko Odstranit.

     

    1. Ověření CSR

    Ověření CSR pomocí příkazového řádku Windows:

    certutil -dump <CSR file path>
    1. Odstraňování problémů: Prohlížeč zobrazí po importu certifikátu podepsaného certifikační autoritou zprávu "Certificate Untrusted"

    Pokud prohlížeč po importu certifikátu podepsaného certifikační autoritou zobrazí varování "Certifikát není důvěryhodný" nebo "Připojení není zabezpečené", je možné, že v importovaném souboru PEM nebo P12 chybí v řetězci certifikátů zprostředkující certifikační autorita.

    Příčina: Pokud importovaný soubor obsahuje pouze listový (serverový) certifikát bez certifikátů zprostředkující certifikační autority, systém Data Domain obsluhuje neúplný řetězec certifikátů. Některé prohlížeče pro stolní počítače mohou automaticky načítat chybějící meziprodukty, ale mobilní zařízení, monitorovací systémy a operace důvěryhodnosti mezi systémy DD selžou.

    Ověřte řetěz certifikátů:

    Na pracovní stanici s nainstalovaným OpenSSL zkontrolujte soubor PEM před importem:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Tento příkaz zobrazí seznam všech certifikátů v souboru. Kompletní řetězec by měl zahrnovat:

    • Listový certifikát (server) (CN subjektu odpovídající názvu hostitele DD nebo plně kvalifikovanému názvu domény)
    • Jeden nebo více certifikátů zprostředkující certifikační autority
    • Volitelně certifikát kořenové certifikační autority

    Pokud je k dispozici pouze listový certifikát, řetězec není úplný.

    Řešení:

    1. Získejte certifikáty zprostředkující certifikační autority od týmu certifikační autority rozlehlé sítě.

    2. Zřetězte certifikáty do jednoho souboru PEM v následujícím pořadí:

      • Listový certifikát (první)
      • Certifikát (certifikáty) zprostředkující certifikační autority (v řetězovém pořadí)
      • Certifikát kořenové certifikační autority (poslední, volitelné)
    3. Odstraňte aktuálně importovaný certifikát ze systému Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importujte rekonstruovaný soubor PEM obsahující celý řetězec pomocí postupů GUI nebo CLI v části 4 výše.

    Poznámka: Soukromé a veřejné klíče musí být 2048 bitů. Systém DDOS podporuje v daném okamžiku pouze jeden hostitelský certifikát pro protokol HTTPS. Pokud používáte formát .p12, ujistěte se, že byl soubor PKCS#12 vygenerován s úplným řetězcem certifikátů.

    Additional Information

    • Soukromé a veřejné klíče musí mít 2048 bitů.
    • Systém DDOS podporuje současně pouze aktivní požadavek CSR a podepsaný certifikát pro protokol HTTPS.

    Odkazy: Nasazení podle znalostní databáze: Data Domain: Jak používat externě podepsané certifikáty

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.