Data Domain:管理 HTTP 和 HTTPS 主機憑證

Summary: 主機憑證可讓瀏覽器和應用程式在建立安全管理工作階段時,驗證 Data Domain 系統的身份。HTTPS 預設為啟用。系統可以使用自我簽署憑證,或從受信任的認證機構 (CA) 匯入的憑證。本文說明如何在 Data Domain 系統上檢查、產生、要求、匯入和刪除 HTTP/HTTPS 憑證。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

憑證可能會到期或失效。如果沒有導入證書,系統將使用自簽名證書,瀏覽器或集成應用程式可能不信任該證書。


  1. 檢查現有憑證。

在 Data Domain (DD-CLI) 上執行下列命令以檢視已安裝的憑證:

adminaccess certificate show

如果憑證已到期或即將到期:

  • 為自我簽署,請使用 DD-CLI 重新產生
  • 如果已匯入,請依照下列 CSR 和匯入步驟操作。
    1. 產生自我簽署憑證。

    若要重新產生 HTTPS 憑證:

    adminaccess certificate generate self-signed-cert
    

    若要重新產生 HTTPS 和受信任的 CA 憑證:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. 產生憑證簽章要求 (CSR)

    使用 DD System Manager:

    1. 設定密碼片語 (若尚未完成):
    system passphrase set
    
    1. 前往 管理 > 存取 > 權系統管理員存取權
    2. 選取 HTTPS > 設定 > 憑證標籤 > 新增
    3. 按一下 產生此 Data Domain 系統的 CSR
    4. 填妥 CSR 表格,並從以下位置下載檔案:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    CLI 替代範例:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. 匯入簽署的憑證

    使用 DD System Manager:

    1. 選取管理 >存取權 > 管理員存取權
    2. 在「服務」區域中,選取 HTTPS ,然後按一下 「設定」
    3. 選取憑證 標籤
    4. 一下「新增」。隨即會顯示上傳對話方塊:
    • 適用於 .p12 檔案:
      • 選取 上傳憑證做為 .p12 檔案、輸入密碼、瀏覽和上傳。
      • 範例 .p12 選擇:
    上傳憑證作為 .p12 檔案
    • 適用於 .pem 檔案:
      • 選取 上傳公開金鑰作為 .pem 檔並使用生成的私鑰,流覽和上傳。

    DD CLI 替代方案:請參閱文章 Data Domain:如何產生憑證簽署要求和使用外部簽署憑證

    1. 刪除現有憑證。

    在新增憑證之前,請先刪除目前的憑證:

      1. 前往 管理 > 存取 > 系統管理員存取 > HTTPS > 設定 > 憑證標籤
      2. 選取憑證,然後按一下 刪除

     

    1. CSR 驗證

    使用 Windows 命令提示字元驗證 CSR:

    certutil -dump <CSR file path>
    1. 故障診斷:CA 簽署的憑證匯入後,瀏覽器顯示「憑證不受信任」

    如果在導入 CA 簽名證書後瀏覽器顯示「證書不受信任」或「連接不安全」警告,則導入的 PEM 或 P12 檔可能缺少證書鏈中的中間 CA 證書。

    Cause: 若匯入的檔案僅包含分葉 (伺服器) 憑證,而沒有中繼 CA 憑證,Data Domain 將提供不完整的憑證鏈。某些桌面瀏覽器可能會自動檢索缺少的中間元件,但行動裝置、監控系統和 DD 對 DD 信任作業將會失敗。

    驗證憑證鏈結:

    在安裝了 OpenSSL 的工作站上,在導入之前檢查 PEM 檔:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    此命令會列出檔案中的所有憑證。完整的鏈條應包括:

    • Leaf (伺服器) 憑證 (與 DD 主機名稱/FQDN 相符的消費者 CN)
    • 一個或多個中間 CA 憑證
    • 或者,根 CA 憑證

    如果僅存在葉證書,則鏈不完整。

    解決方案:

    1. 從企業證書頒發機構團隊獲取中間 CA 證書。

    2. 依下列順序,將憑證串聯為單一 PEM 檔案:

      • Leaf 憑證 (第一個)
      • 中間 CA 憑證(按鏈順序)
      • 根 CA 憑證 (最後,選用)
    3. 從 Data Domain 刪除目前匯入的憑證:

      adminaccess certificate delete imported-host application https
      
    4. 使用上述第 4 節中的 GUI 或 CLI 程序,匯入重建的 PEM 檔案,其中包含完整鏈結。

    注意:私鑰和公鑰必須是 2048 位。DDOS 一次只支援一個 HTTPS 主機憑證。如果使用 .p12 格式,請確保生成 PKCS#12 檔時包含完整的證書鏈。

    Additional Information

    • 私鑰和公鑰必須為 2048 位
    • DDOS 一次僅支援 作用中 CSR 和 HTTPS 的簽署憑證

    參考資料:部署 KB:Data Domain:如何使用外部簽署憑證

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.