Data Domain : Gestion des certificats d’hôte pour HTTP et HTTPS

Summary: Les certificats hôtes permettent aux navigateurs et aux applications de vérifier l’identité d’un système Data Domain lors de l’établissement de sessions de gestion sécurisées. Le protocole HTTPS est activé par défaut. Le système peut utiliser un certificat auto-signé ou un certificat importé d’une autorité de certification (CA) de confiance. Cet article explique comment vérifier, générer, demander, importer et supprimer des certificats pour HTTP/HTTPS sur des systèmes Data Domain. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Les certificats peuvent expirer ou devenir non valides. Si aucun certificat n’est importé, le système utilise un certificat auto-signé, auquel les navigateurs ou les applications intégrées peuvent ne pas faire confiance.


  1. Vérifiez les certificats existants.

Sur Data Domain (DD-CLI), exécutez la commande suivante pour afficher les certificats installés :

adminaccess certificate show

Si les certificats ont expiré ou sont sur le point d’expirer :

  • S’il est auto-signé, régénérez-le à l’aide de DD-CLI
  • En cas d’importation, suivez les étapes CSR et d’importation ci-dessous.
    1. Générer des certificats auto-signés.

    Pour régénérer le certificat HTTPS :

    adminaccess certificate generate self-signed-cert
    

    Pour régénérer les certificats HTTPS et les certificats d’autorité de certification de confiance :

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Générer une demande de signature de certificat (CSR)

    Utilisez DD System Manager :

    1. Si cela n’a pas déjà été fait, définissez une phrase secrète :
    system passphrase set
    
    1. Accédez à Administration > Access > Administrator Access.
    2. Sélectionnez HTTPS > Configurer > l’onglet > Certificat Ajouter.
    3. Cliquez sur Générer la CSR pour ce système Data Domain.
    4. Remplissez le formulaire CSR et téléchargez le fichier à partir de :
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Exemple alternatif d’interface CLI :

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Importer un certificat signé

    Utilisez DD System Manager :

    1. Sélectionnez Administration >Access > Administrator Access
    2. Dans la zone Services, sélectionnez HTTPS , puis cliquez sur Configure
    3. Sélectionnez l’onglet Certificate
    4. Cliquez sur Ajouter. Une boîte de dialogue Télécharger s’affiche :
    • Pour les .p12 fichier :
      • Sélectionnez Télécharger le certificat en tant que .p12 , saisissez le mot de passe, recherchez et téléchargez.
      • Exemple pour .p12 Sélection:
    Télécharger le certificat en tant que fichier as.p12
    • Pour les .pem fichier :
      • Sélectionnez Télécharger la clé publique en tant que .pem Enregistrez et utilisez la clé privée générée, naviguez et téléchargez.

    Alternative à DD CLI : Reportez-vous à l’article Data Domain : Comment générer une demande de signature de certificat et utiliser des certificats signés en externe

    1. Supprimer le certificat existant.

    Avant d’ajouter un nouveau certificat, supprimez le certificat actuel :

      1. Accédez à l’onglet Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
      2. Sélectionnez le certificat, puis cliquez sur Delete.

     

    1. CSR Validation

    Valider la CSR à l’aide de l’invite de commande Windows :

    certutil -dump <CSR file path>
    1. Dépannage : Le navigateur affiche « certificat non approuvé » après l’importation d’un certificat signé par une autorité de certification

    Si le navigateur affiche un avertissement « certificat non approuvé » ou « la connexion n’est pas sécurisée » après l’importation d’un certificat signé par une autorité de certification, il se peut que le fichier PEM ou P12 importé ne contienne pas de certificat d’autorité de certification intermédiaire dans la chaîne de certificats.

    Cause : Lorsque le fichier importé ne contient que le certificat feuille (serveur) sans le(s) certificat(s) intermédiaire(s) de l’autorité de certification, Data Domain sert une chaîne de certificats incomplète. Certains navigateurs de bureau peuvent récupérer automatiquement les intermédiaires manquants, mais les appareils mobiles, les systèmes de surveillance et les opérations de confiance DD à DD échouent.

    Vérifiez la chaîne de certificats :

    Sur une station de travail sur laquelle OpenSSL est installé, inspectez le fichier PEM avant l’importation :

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Cette commande répertorie tous les certificats du fichier. Une chaîne complète doit comprendre :

    • Certificat feuille (serveur) (objet CN correspondant au nom d’hôte/FQDN DD)
    • Un ou plusieurs certificats CA intermédiaires
    • Si vous le souhaitez, le certificat d’autorité de certification racine

    Si seul le certificat feuille est présent, la chaîne est incomplète.

    Résolution :

    1. Procurez-vous le(s) certificat(s) d’autorité de certification intermédiaire(s) auprès de l’équipe de l’autorité de certification de l’entreprise.

    2. Concaténez les certificats dans un seul fichier PEM dans l’ordre suivant :

      • Certificat feuille (premier)
      • Certificat(s) CA intermédiaire (dans l’ordre hiérarchique)
      • Certificat d’autorité de certification racine (dernier, facultatif)
    3. Supprimez le certificat importé actuel du Data Domain :

      adminaccess certificate delete imported-host application https
      
    4. Importez le fichier PEM reconstruit contenant la chaîne complète à l’aide des procédures GUI ou CLI décrites dans la Section 4 ci-dessus.

    Remarque : Les clés privée et publique doivent être de 2 048 bits. DDOS ne prend en charge qu’un seul certificat d’hôte pour HTTPS à la fois. Si vous utilisez le format .p12, assurez-vous que le fichier PKCS#12 a été généré avec la chaîne de certificats complète incluse.

    Additional Information

    • Les clés privée et publique doivent être de 2 048 bits.
    • DDOS ne prend en charge qu’une CSR active et un certificat signé pour HTTPS à la fois.

    Références : Déploiement de KB : Data Domain : Comment utiliser des certificats signés en externe

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.