「Data Domain:HTTPおよびHTTPSのホスト証明書の管理

Summary: 安全な管理セッションを確立する際に、ホスト証明書を使用すると、ブラウザーとアプリケーションでData DomainシステムのIDを検証できます。HTTPSはデフォルトで有効になっています。システムは、自己署名証明書、または信頼できる認証局(CA)からインポートされた証明書のいずれかを使用できます。この記事では、Data DomainシステムでHTTP/HTTPSの証明書を確認、生成、要求、インポート、削除する方法について説明します。 ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

証明書の有効期限が切れたり、無効になったりする可能性があります。証明書がインポートされていない場合、システムは自己署名証明書を使用しますが、ブラウザーまたは統合アプリケーションはこの証明書を信頼しない可能性があります。


  1. 既存の証明書を確認します。

Data Domain(DD-CLI)で次のコマンドを実行して、インストールされている証明書を表示します。

adminaccess certificate show

証明書の有効期限が切れているか、有効期限が近づいている場合:

  • 自己署名されている場合は、DD-CLIを使用して再生成します。
  • インポートした場合は、以下のCSRとインポート手順に従います。
    1. 自己署名証明書の生成。

    HTTPS証明書を再生成するには、次の手順を実行します。

    adminaccess certificate generate self-signed-cert
    

    HTTPSおよび信頼できるCA証明書を再生成するには、次の手順を実行します。

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. 証明書署名要求(CSR)の生成

    DD System Managerの使用:

    1. まだ設定していない場合は、パスフレーズを設定します。
    system passphrase set
    
    1. Administration > Access > Administrator Accessに移動します。
    2. HTTPSを選択し>Configure>Certificateタブ>Addを選択します。
    3. このData DomainシステムのCSRを生成をクリックします。
    4. CSRフォームに入力し、ファイルを次からダウンロードします。
    /ddvar/certificates/CertificateSigningRequest.csr
    

    CLIの代替例:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. 署名済み証明書のインポート

    DD System Managerの使用:

    1. 管理者アクセス>Administration >Accessを選択します
    2. Services領域でHTTPSを選択し、Configureをクリックします
    3. [証明書]タブを選択します
    4. [Add](追加)をクリックします。[Upload]ダイアログが表示されます。
    • ヘルプ .p12
      • 証明書 アップロード方法を選択します .p12 ファイル、パスワード、参照、アップロードを入力します。
      • 例: .p12 選択:
    証明書を.p12ファイルとしてアップロード
    • ヘルプ .pem
      • [ Upload public key as]を選択します。 .pem 生成された秘密鍵参照、およびアップロードをファイルして使用します。

    DD CLIの代替方法: 記事「Data Domain: 証明書署名要求を生成し、外部署名付き証明書を使用する方法

    1. 既存の証明書を削除します。

    新しい証明書を追加する前に、現在の証明書を削除します。

      1. Administration > Access > Administrator Access > HTTPS > Configure > Certificateタブに移動します。
      2. 証明書を選択し、 Deleteをクリックします。

     

    1. CSR検証

    Windowsコマンド プロンプトを使用したCSRの検証:

    certutil -dump <CSR file path>
    1. トラブルシューティング: CA署名付き証明書のインポート後にブラウザーに「Certificate untrusted」と表示される

    CA署名付き証明書をインポートした後、ブラウザーに「証明書が信頼されていません」または「接続が安全ではありません」という警告が表示された場合は、インポートされたPEMまたはP12ファイルに、証明書チェーン内の中間CA証明書がない可能性があります。

    Cause: インポートされたファイルに中間CA証明書のないリーフ(サーバー)証明書のみが含まれている場合、Data Domainは不完全な証明書チェーンを提供します。一部のデスクトップ ブラウザーでは、不足しているインターミディエイトを自動取得する場合がありますが、モバイル デバイス、監視システム、DD間の信頼操作は失敗します。

    証明書チェーンを確認します。

    OpenSSLがインストールされているワークステーションでは、インポート前にPEMファイルを検査します。

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    このコマンドは、ファイル内のすべての証明書を一覧表示します。完全なチェーンには、次のものが含まれます。

    • リーフ(サーバー)証明書(DDホスト名/FQDNと一致するサブジェクトCN)
    • 1 つ以上の中間 CA 証明書
    • 必要に応じて、ルートCA証明書

    リーフ証明書のみが存在する場合、チェーンは不完全です。

    解像度:

    1. エンタープライズ認証局チームから中間CA証明書を取得します。

    2. 証明書を次の順序で単一のPEMファイルに連結します。

      • リーフ証明書(最初)
      • 中間CA証明書(チェーン順)
      • ルートCA証明書(最後、オプション)
    3. 現在インポートされている証明書をData Domainから削除します。

      adminaccess certificate delete imported-host application https
      
    4. 上記のセクション4のGUIまたはCLIの手順を使用して、フル チェーンを含む再構築されたPEMファイルをインポートします。

    注:秘密鍵と公開鍵は 2048 ビットである必要があります。DDOSは、HTTPSのホスト証明書を一度に1つのみサポートします。.p12形式を使用している場合は、PKCS#12ファイルが完全な証明書チェーンを含む状態で生成されたことを確認します。

    Additional Information

    • 秘密キーと公開キーは 2048 ビットである必要があります。
    • DDOSは、 アクティブなCSR とHTTPSの 署名済み証明書 のみを同時にサポートします。

    リファレンス:「導入KB:「Data Domain:外部署名付き証明書の使用方法

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.