Data Domain: Gestione dei certificati host per HTTP e HTTPS
Summary: I certificati host consentono ai browser e alle applicazioni di verificare l'identità di un sistema Data Domain quando stabiliscono sessioni di gestione protette. HTTPS è abilitato per impostazione predefinita. Il sistema può utilizzare un certificato autofirmato o un certificato importato da un'autorità di certificazione (CA) attendibile. Questo articolo spiega come controllare, generare, richiedere, importare ed eliminare i certificati per HTTP/HTTPS sui sistemi Data Domain. ...
Instructions
I certificati potrebbero scadere o diventare non validi. Se non viene importato alcun certificato, il sistema utilizza un certificato autofirmato che i browser o le applicazioni integrate potrebbero non considerare attendibile.
- Controllare i certificati esistenti.
In Data Domain (DD-CLI), eseguire il seguente comando per visualizzare i certificati installati:
adminaccess certificate show
Se i certificati sono scaduti o prossimi alla scadenza:
- Se autofirmato, rigenerarlo utilizzando DD-CLI
- Se importato, seguire la procedura CSR e di importazione riportata di seguito.
- Generare certificati autofirmati.
Per rigenerare il certificato HTTPS:
adminaccess certificate generate self-signed-cert
Per rigenerare certificati HTTPS e CA attendibili:
adminaccess certificate generate self-signed-cert regenerate-ca
- Generare una richiesta di firma del certificato (CSR)
Utilizzare DD System Manager:
- Impostare una passphrase, se non è già stato fatto:
system passphrase set
- Accedere ad Administration > Access > Administrator Access.
- Selezionare HTTPS > Configure Certificate > tab > Add.
- Cliccare su Generate the CSR for this Data Domain system.
- Compilare il modulo CSR e scaricare il file da:
/ddvar/certificates/CertificateSigningRequest.csr
Esempio alternativo alla CLI:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Importa certificato firmato
Utilizzare DD System Manager:
- Selezionare Accesso >amministratore >Accesso amministratore
- Nell'area Services, selezionare HTTPS e cliccare su Configure
- Selezionare la scheda Certificate
- Cliccare su Add. Viene visualizzata la finestra di dialogo Upload:
- Per
.p12del server NetWorker Management Console (NMC):- Selezionare Carica certificato come
.p12File, immettere la password, sfogliare e caricare. - Esempio per
.p12Selezione:
- Selezionare Carica certificato come
- Per
.pemdel server NetWorker Management Console (NMC):- Selezionare Upload public key as
.pemFile e utilizzo della chiave privata generata, ricerca e upload.
- Selezionare Upload public key as
Alternativa a DD CLI: Fare riferimento all'articolo Data Domain: Come generare una richiesta di firma di certificato e utilizzare certificati firmati esternamente
- Eliminare un certificato esistente.
Prima di aggiungere un nuovo certificato, eliminare il certificato corrente:
-
- Passare alla scheda Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
- Selezionare il certificato e cliccare su Delete.
- Convalida CSR
Convalidare la CSR utilizzando il prompt dei comandi di Windows:
certutil -dump <CSR file path>
- Risoluzione dei problemi: Il browser mostra "Certificato non attendibile" dopo l'importazione del certificato firmato dalla CA
Se il browser visualizza un avviso "certificato non attendibile" o "connessione non sicura" dopo l'importazione di un certificato firmato dalla CA, è possibile che nel file PEM o P12 importato manchino i certificati CA intermedi nella catena di certificati.
Causa: Quando il file importato contiene solo il certificato foglia (server) senza i certificati CA intermedi, Data Domain serve una catena di certificati incompleta. Alcuni browser desktop potrebbero recuperare automaticamente gli intermedi mancanti, ma i dispositivi mobili, i sistemi di monitoraggio e le operazioni di attendibilità da DD a DD avranno esito negativo.
Verificare la catena di certificati:
Su una workstation con OpenSSL installato, esaminare il file PEM prima dell'importazione:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Questo comando elenca tutti i certificati nel file. Una catena completa dovrebbe includere:
- Certificato (server) foglia (CN soggetto corrispondente al nome host/FQDN DD)
- Uno o più certificati CA intermedi
- Facoltativamente, il certificato CA radice
Se è presente solo il certificato foglia, la catena è incompleta.
Risoluzione:
-
Ottenere i certificati CA intermedi dal team dell'autorità di certificazione dell'organizzazione.
-
Concatenare i certificati in un singolo file PEM nell'ordine seguente:
- Certificato foglia (primo)
- Certificato(i) CA intermedio (in ordine concatenato)
- Certificato CA radice (ultimo, opzionale)
-
Eliminare il certificato importato corrente da Data Domain:
adminaccess certificate delete imported-host application https -
Importare il file PEM ricostruito contenente l'intera catena utilizzando le procedure GUI o CLI nella Sezione 4 precedente.
Additional Information
- Le chiavi private e pubbliche devono essere a 2048 bit.
- DDOS supporta solo una CSR attiva e un certificato firmato per HTTPS alla volta.
Riferimento: KB di deployment: Data Domain: Come utilizzare certificati firmati esternamente