「Data Domain:HTTPおよびHTTPSのホスト証明書の管理
Summary: 安全な管理セッションを確立する際に、ホスト証明書を使用すると、ブラウザーとアプリケーションでData DomainシステムのIDを検証できます。HTTPSはデフォルトで有効になっています。システムは、自己署名証明書、または信頼できる認証局(CA)からインポートされた証明書のいずれかを使用できます。この記事では、Data DomainシステムでHTTP/HTTPSの証明書を確認、生成、要求、インポート、削除する方法について説明します。 ...
Instructions
証明書の有効期限が切れたり、無効になったりする可能性があります。証明書がインポートされていない場合、システムは自己署名証明書を使用しますが、ブラウザーまたは統合アプリケーションはこの証明書を信頼しない可能性があります。
- 既存の証明書を確認します。
Data Domain(DD-CLI)で次のコマンドを実行して、インストールされている証明書を表示します。
adminaccess certificate show
証明書の有効期限が切れているか、有効期限が近づいている場合:
- 自己署名されている場合は、DD-CLIを使用して再生成します。
- インポートした場合は、以下のCSRとインポート手順に従います。
- 自己署名証明書の生成。
HTTPS証明書を再生成するには、次の手順を実行します。
adminaccess certificate generate self-signed-cert
HTTPSおよび信頼できるCA証明書を再生成するには、次の手順を実行します。
adminaccess certificate generate self-signed-cert regenerate-ca
- 証明書署名要求(CSR)の生成
DD System Managerの使用:
- まだ設定していない場合は、パスフレーズを設定します。
system passphrase set
- Administration > Access > Administrator Accessに移動します。
- HTTPSを選択し>Configure>Certificateタブ>Addを選択します。
- このData DomainシステムのCSRを生成をクリックします。
- CSRフォームに入力し、ファイルを次からダウンロードします。
/ddvar/certificates/CertificateSigningRequest.csr
CLIの代替例:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- 署名済み証明書のインポート
DD System Managerの使用:
- 管理者アクセス>Administration >Accessを選択します
- Services領域でHTTPSを選択し、Configureをクリックします
- [証明書]タブを選択します
- [Add](追加)をクリックします。[Upload]ダイアログが表示されます。
- ヘルプ
.p12:- 証明書 アップロード方法を選択します
.p12ファイル、パスワード、参照、アップロードを入力します。 - 例:
.p12選択:
- 証明書 アップロード方法を選択します
- ヘルプ
.pem:- [ Upload public key as]を選択します。
.pem生成された秘密鍵参照、およびアップロードをファイルして使用します。
- [ Upload public key as]を選択します。
DD CLIの代替方法: 記事「Data Domain: 証明書署名要求を生成し、外部署名付き証明書を使用する方法
- 既存の証明書を削除します。
新しい証明書を追加する前に、現在の証明書を削除します。
-
- Administration > Access > Administrator Access > HTTPS > Configure > Certificateタブに移動します。
- 証明書を選択し、 Deleteをクリックします。
- CSR検証
Windowsコマンド プロンプトを使用したCSRの検証:
certutil -dump <CSR file path>
- トラブルシューティング: CA署名付き証明書のインポート後にブラウザーに「Certificate untrusted」と表示される
CA署名付き証明書をインポートした後、ブラウザーに「証明書が信頼されていません」または「接続が安全ではありません」という警告が表示された場合は、インポートされたPEMまたはP12ファイルに、証明書チェーン内の中間CA証明書がない可能性があります。
Cause: インポートされたファイルに中間CA証明書のないリーフ(サーバー)証明書のみが含まれている場合、Data Domainは不完全な証明書チェーンを提供します。一部のデスクトップ ブラウザーでは、不足しているインターミディエイトを自動取得する場合がありますが、モバイル デバイス、監視システム、DD間の信頼操作は失敗します。
証明書チェーンを確認します。
OpenSSLがインストールされているワークステーションでは、インポート前にPEMファイルを検査します。
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
このコマンドは、ファイル内のすべての証明書を一覧表示します。完全なチェーンには、次のものが含まれます。
- リーフ(サーバー)証明書(DDホスト名/FQDNと一致するサブジェクトCN)
- 1 つ以上の中間 CA 証明書
- 必要に応じて、ルートCA証明書
リーフ証明書のみが存在する場合、チェーンは不完全です。
解像度:
-
エンタープライズ認証局チームから中間CA証明書を取得します。
-
証明書を次の順序で単一のPEMファイルに連結します。
- リーフ証明書(最初)
- 中間CA証明書(チェーン順)
- ルートCA証明書(最後、オプション)
-
現在インポートされている証明書をData Domainから削除します。
adminaccess certificate delete imported-host application https -
上記のセクション4のGUIまたはCLIの手順を使用して、フル チェーンを含む再構築されたPEMファイルをインポートします。
Additional Information
- 秘密キーと公開キーは 2048 ビットである必要があります。
- DDOSは、 アクティブなCSR とHTTPSの 署名済み証明書 のみを同時にサポートします。