Data Domain: Administración de certificados de host para HTTP y HTTPS
Summary: Los certificados de host permiten que los navegadores y las aplicaciones verifiquen la identidad de un sistema Data Domain cuando se establecen sesiones de administración seguras. HTTPS está habilitado de manera predeterminada. El sistema puede utilizar un certificado autofirmado o un certificado importado de una autoridad de certificación (CA) de confianza. En este artículo, se explica cómo comprobar, generar, solicitar, importar y eliminar certificados para HTTP/HTTPS en sistemas Data Domain. ...
Instructions
Los certificados pueden vencer o dejar de ser válidos. Si no se importa ningún certificado, el sistema utiliza un certificado autofirmado, en el cual es posible que los navegadores o las aplicaciones integradas no confíen.
- Compruebe los certificados existentes.
En Data Domain (DD-CLI), ejecute el siguiente comando para ver los certificados instalados:
adminaccess certificate show
Si los certificados están vencidos o a punto de vencer:
- Si es autofirmado, vuelva a generar mediante DD-CLI
- Si se importó, siga los pasos de CSR e importación que se indican a continuación.
- Generar certificados autofirmados.
Para volver a generar el certificado HTTPS:
adminaccess certificate generate self-signed-cert
Para volver a generar certificados de CA de confianza y HTTPS:
adminaccess certificate generate self-signed-cert regenerate-ca
- Generar una solicitud de firma de certificado (CSR)
Utilice DD System Manager:
- Establezca una frase de contraseña, si aún no lo ha hecho:
system passphrase set
- Vaya a Acceso > de administración > Acceso de administrador.
- Seleccione la pestaña Configurar > certificado de > HTTPS > Agregar.
- Haga clic en Generar la CSR para este sistema Data Domain.
- Complete el formulario de CSR y descargue el archivo desde:
/ddvar/certificates/CertificateSigningRequest.csr
Ejemplo alternativo de CLI:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Importar certificado firmado
Utilice DD System Manager:
- Seleccione Administration >Access > Administrator Access
- En el área Services, seleccione HTTPS y haga clic en Configure
- Seleccione la pestaña Certificate
- Haga clic en Agregar. Aparece el cuadro de diálogo Cargar:
- Para
.p12archivo:- Seleccione Cargar certificado como
.p12archivo, ingrese la contraseña, navegue y cargue. - Ejemplo de
.p12Selección:
- Seleccione Cargar certificado como
- Para
.pemarchivo:- Seleccione Cargar clave pública como
.pemArchivo y uso de la clave privada generada, navegar y cargar.
- Seleccione Cargar clave pública como
Alternativa de la CLI de DD: Consulte el artículo Data Domain: Cómo generar una solicitud de firma de certificado y usar certificados firmados externamente
- Elimine el certificado existente.
Antes de agregar un nuevo certificado, elimine el certificado actual:
-
- Vaya a la pestaña Acceso de administraciónAcceso >> de administrador > HTTPS > Configurar > certificado.
- Seleccione el certificado y haga clic en Delete.
- Validación de CSR
Valide la CSR mediante el símbolo del sistema de Windows:
certutil -dump <CSR file path>
- Solución de problemas: El navegador muestra "Certificado no confiable" después de la importación del certificado firmado por una CA
Si en el navegador se muestra una advertencia de "certificado no confiable" o "conexión no segura" después de importar un certificado firmado por una CA, es posible que al archivo PEM o P12 importado le falten certificados de CA intermedios en la cadena de certificados.
Causa: Cuando el archivo importado contiene solo el certificado de hoja (servidor) sin los certificados de CA intermedios, Data Domain sirve una cadena de certificados incompleta. Algunos navegadores de escritorio pueden recuperar automáticamente los intermedios faltantes, pero los dispositivos móviles, los sistemas de monitoreo y las operaciones de confianza de DD a DD fallarán.
Verifique la cadena de certificados:
En una estación de trabajo con OpenSSL instalado, inspeccione el archivo PEM antes de importarlo:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Este comando enumera todos los certificados en el archivo. Una cadena completa debe incluir:
- El certificado de leaf (servidor) (CN de sujeto que coincide con el nombre de host/FQDN de DD)
- Uno o más certificados de CA intermedios
- De manera opcional, el certificado de CA raíz
Si solo está presente el certificado de hoja, la cadena está incompleta.
Solución:
-
Obtenga los certificados de CA intermedios del equipo de la autoridad de certificación empresarial.
-
Concatene los certificados en un único archivo PEM en el siguiente orden:
- Certificado de hoja (primero)
- Certificado(s) de CA intermedio(s) (en orden de cadena)
- Certificado de CA raíz (último, opcional)
-
Elimine el certificado importado actual de Data Domain:
adminaccess certificate delete imported-host application https -
Importe el archivo PEM reconstruido que contiene la cadena completa mediante los procedimientos de la GUI o CLI de la Sección 4 anterior.
Additional Information
- Las claves públicas y privadas deben ser de 2048 bits.
- DDOS solo admite una CSR activa y un certificado firmado para HTTPS a la vez.
Referencia: KB de implementación: Data Domain: Cómo usar certificados firmados externamente