Data Domain: Ulkoisesti allekirjoitettujen varmenteiden tuominen porttiin 3009

Summary: Ulkoisesti allekirjoitettujen varmenteiden tuominen portissa 3009 DDOS-versiosta 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Huomautus: Tämä tietämyskannan artikkeli koskee vain DDOS 7.12 -versiota ja uudempia.

Järjestelmä voi käyttää tuotuja isäntä- ja CA-varmenteita seuraaviin porteissa 3009 ja 3013 toimiviin järjestelmänhallintapalveluihin:

  • Hallintaviestintä DD-järjestelmän ja DDMC:n välillä
  • Replikointi
  • HA-parin aktiivisten solmujen ja valmiussolmujen välinen tiedonsiirto
  • REST API:n käsittely

Seuraavat edellytykset ovat voimassa:

Isännän varmenteen edellytykset:

  • Järjestelmän salasana on määritettävä muodossa DDR/DDVE/DD-HA.
  • Varmenteen on oltava voimassa (se ei saa vanhentua tai sen voimassaolon on oltava tulevaisuudessa)
  • Isännän varmenteen TULEE:
    • Sisällytä "TLS Web Server Authentication, TLS Web Client Authentication" kohtaan Laajennettu avaimen käyttö.
    • EI sisällä muotoa "CA:TRUE" kohdassa x509v3 Perusrajoitukset.
    • Sisällytä DDR-/DDVE-isäntänimi aiheriville Subject-Alternative-Name, common-name tai molemmat.
    • Sisällytä (jos on HA)
      • HA-järjestelmän nimi aiherivillä subject-alternative-name, common-name tai both.
      • Yksittäisen solmun isäntänimet under subject-alternative-name.
  • Isäntävarmenteeseen suositellaan sisältyvän AKID (Authority Key Identifier) -tunnus kohdassa X509v3-laajennukset.
  • Vain YKSI isäntävarmenne voidaan tuoda.
  • Samaa isäntävarmennetta voi käyttää PowerProtect DD System Managerissa (käyttöliittymä tai DDSM).

CA-varmenteen edellytykset:

  • CA-varmenteen on oltava voimassa (se ei saa olla vanhentunut tai sen voimassaolon on oltava tulevaisuudessa).
  • Sen pitäisi olla CA-varmenne, eli sen tulisi sisältää tarvittavat attribuutit osoittamaan, että se on viranomainen, joka voi myöntää asiakas- ja palvelinvarmenteita.
    • Kuten "CA:TRUE" kohdassa x509v3 Basic Constrains tai.
    • keyUsage- tai keyUsage-kohdassa keyCertSign
    • Itse allekirjoitettu (jos on Root-CA).
  • Jos CA-varmenne tuodaan liittämällä PEM-sisältö, ts. adminaccess certificate import ca application system-management, vain yhden CA-varmenteen voi liittää. Jos niitä on useita, DD tekee virheen loppuun.
  • Jos CA-varmennetta tuodaan tiedostolla, joka on, adminaccess certificate import ca application system-management file <filename>, tiedosto ei saa sisältää useampaa kuin yhtä CA-varmennetta. Jos niitä on useita, DD tekee virheen loppuun.
  • CA-varmenteen tarkoituksena olisi oltava kumottujen varmenteiden luetteloiden (CRL) myöntäminen.
  • Root-CA-varmennetta suositellaan sisältämään Subject Key Identifier -tunnisteen x509v3-laajennuksissa. Intermediate-CA-varmenteiden suositellaan sisältävän Subject-Key-Identifier (SKID) ja Authority-Key-Identifier (AKID) x509 v3 -laajennuksilla.

CLI-tuontimenettely:

PEM-tiedoston tuominen järjestelmänhallintaa varten:

  1. Luo DD-järjestelmän tai Dell APEX Protection Storage -esiintymän CSR ja määritä arvot tarpeen mukaan. Oletusarvoinen CSR ei riitä.

    HUOMAUTUS: Kun mukautetaan tietoja CSR:ssä, avaimen on oltava vähintään 2048 bittiä pitkä, sisällytettävä "all" (sekä "clientAuth" että "serverAuth") kohtaan Extended-key-usage ja sisällytä DD-isäntänimi aiherivin subject-alternative-name- tai common-name-kohtaan.

    Esimerkki:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Allekirjoita CSR varmenteiden myöntäjän kanssa ja varmista, että aihe-vaihtoehto-nimi kopioidaan allekirjoittamisen aikana.

  3. Hanki allekirjoitettu varmenne X.509 PEM -muodossa varmenteen myöntäjältä.

  4. Hanki CA-varmenne X.509 PEM -muodossa.

  5. Liitä varmenteiden sisältö tai kopioi varmennetiedostot kansioon /ddr/var/certificates/.

  6. Kun PEM-tiedostoja kopioidaan kansioon /ddr/var/certificates/:

    1. Suorita alla oleva komento jokaiselle CA-varmennetiedostolle. 
      adminaccess certificate import ca application system-management file <filename>
    2. Tuo isäntävarmenne suorittamalla alla oleva komento. 
      adminaccess certificate import host application system-management file <filename>

Vaiheet PKCS12-tiedoston tuomiseksi järjestelmänhallintaa varten:

Tapaus 1: PKCS12 sisältää vain salatun yksityisen avaimen (PBE-SHA1-3DES) ja allekirjoitetun varmenteen. CA-ketju ei sisälly hintaan.

  1. Käytä tarvittavia sisäisiä työkaluja yksityisen avaimen ja CSR: n luomiseen ja varmenteen allekirjoittamiseen.

  2. Luo PKCS12-tiedosto käyttäen vain isäntävarmennetta ja isännän yksityistä avainta.

    Huomautus: Älä sisällytä isäntävarmenteen myöntäneitä CA-varmenteita PKCS12-tiedostoon, ne ovat saatavilla X.509-PEM-muodossa.

  3. Kopioi PKCS12-tiedosto kansioon /ddr/var/certificates/.

  4. Kopioi CA-varmenne kansioon /ddr/var/certificates/.

  5. Tuo ensin isäntävarmenteen myöntäneet CA-varmenteet suorittamalla alla oleva komento kullekin CA-varmennetiedostolle.

    adminaccess certificate import ca application system-management file <filename>

  6. Kun CA-varmenteet on tuotu, tuo isäntävarmenne PKCS12:een alla olevalla komennolla.

    adminaccess certificate import host application system-management file <filename>

Tapaus 2: PKCS12 sisältää salatun yksityisen avaimen (PBE-SHA1-3DES), allekirjoitetun varmenteen ja CA-ketjun.

  1. Käytä tarvittavia sisäisiä työkaluja yksityisen avaimen ja CSR: n luomiseen ja varmenteen allekirjoittamiseen.

  2. Luo PKCS12-tiedosto käyttäen vain isäntävarmennetta ja isännän yksityistä avainta.

    Huomautus: Älä liitä mukaan isäntävarmenteen myöntäneitä CA-varmenteita, jotka ovat saatavilla X.509 PEM -muodossa.  Jokainen CA-varmenne ketjussa Root-CA:han asti on X.509-PEM-moduulissa.

  3. Kopioi PKCS12-tiedosto kansioon /ddr/var/certificates/.

  4. Tuo isäntävarmenne suorittamalla alla oleva komento.

    adminaccess certificate import host application system-management file <filename>

Alla olevassa tietämyskannan artikkelissa on lisätietoja varmenteiden tuomisesta käyttöliittymän kautta:
Data Domain - HTTP- ja HTTPS-isäntävarmenteiden hallinta

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.