Data Domain: Importieren von extern signierten Zertifikaten auf Port 3009

Summary: So importieren Sie extern signierte Zertifikate auf Port 3009 von DDOS-Version 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hinweis: Dieser Wissensdatenbank-Artikel gilt nur für DDOS 7.12 und höher.

Das System kann importierte Host- und CA-Zertifikate für die folgenden Systemmanagementservices verwenden, die auf den Ports 3009 und 3013 ausgeführt werden:

  • Managementkommunikation zwischen dem DD-System und DDMC
  • Replikation
  • Kommunikation zwischen den aktiven und Stand-by-Nodes eines HA-Paars
  • REST-API-Handhabung

Es gelten folgende Voraussetzungen:

Voraussetzungen für das Hostzertifikat:

  • Die System-Passphrase muss auf DDR/DDVE/DD-HA festgelegt werden.
  • Das Zertifikat muss gültig sein (nicht abgelaufen oder mit Gültigkeitsdaten in der Zukunft)
  • Das Hostzertifikat SOLLTE:
    • Fügen Sie "TLS-Webserverauthentifizierung, TLS-Webclientauthentifizierung" unter "Erweiterte Schlüsselnutzung" ein.
    • enthalten NICHT "CA:TRUE" unter x509v3-Basiseinschränkungen.
    • Geben Sie den Hostnamen von DDR/DDVE unter "Subject-Alternativer Name", "Allgemeiner Name" oder beides in die Betreffzeile ein.
    • Einschließen (falls HA vorhanden ist)
      • HA system-name unter subject-alternative-name, common-name, oder beiden in der Betreffzeile.
      • Hostnamen einzelner Nodes unter subject-alternative-name.
  • Es wird empfohlen, im Hostzertifikat unter "X509v3-Erweiterungen" die Schlüsselkennung (AKID) der Zertifizierungsstelle einzuschließen.
  • Es kann nur EIN Hostzertifikat importiert werden.
  • Das gleiche Hostzertifikat kann für PowerProtect DD System Manager (UI oder DDSM) verwendet werden.

Voraussetzungen für das CA-Zertifikat:

  • Das CA-Zertifikat muss gültig sein (nicht abgelaufen oder mit Gültigkeitsdaten in der Zukunft).
  • Es sollte sich um ein CA-Zertifikat handeln, d. h., es sollte die erforderlichen Attribute enthalten, um anzugeben, dass es sich um eine Zertifizierungsstelle handelt, die Client- und Serverzertifikate ausstellen kann.
    • Wie "CA:TRUE" unter x509v3 Basic Constraints oder.
    • "keyCertSign" unter keyUsage oder
    • Selbstsigniert (wenn eine Stammzertifizierungsstelle vorhanden ist).
  • Wenn ein CA-Zertifikat durch Einfügen von PEM-Inhalten importiert wird, d. h. adminaccess certificate import ca application system-managementkann nur ein CA-Zertifikat eingefügt werden. Wenn mehrere angegeben werden, tritt bei DD ein Fehler auf.
  • Wenn ein CA-Zertifikat mithilfe einer Datei importiert wird, die Folgendes enthält: adminaccess certificate import ca application system-management file <filename>sollte die Datei nicht mehr als ein CA-Zertifikat enthalten. Wenn mehrere angegeben werden, tritt bei DD ein Fehler auf.
  • Das CA-Zertifikat sollte den Zweck haben, Zertifikatsperrlisten (Certificate Revocation Lists, CRL) auszustellen.
  • Es wird empfohlen, dass das Stamm-CA-Zertifikat die Subject Key Identifier unter x509v3-Erweiterungen enthält. Es wird empfohlen, dass Zertifikate der Zwischen-CA (Subject-Key-Identifier, SKID) und Authority-Key-Identifier (AKID) unter x509 v3-Erweiterungen enthalten.

CLI-Importverfahren:

Schritte zum Importieren der PEM-Datei für die Systemverwaltung:

  1. Erzeugen Sie die CSR auf dem DD-System oder der Dell APEX Protection Storage-Instanz und legen Sie die Werte nach Bedarf fest. Die Standard-CSR ist nicht ausreichend.

    HINWEIS: Beim Anpassen von Informationen in der CSR muss der Schlüssel mindestens 2048 Bit lang sein, "all" (sowohl "clientAuth" als auch "serverAuth") in die erweiterte Schlüsselverwendung einschließen und den DD-Hostnamen unter subject-alternative-name oder common-name in die Betreffzeile aufnehmen.

    Beispiel:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Signieren Sie die CSR mit der Zertifizierungsstelle und überprüfen Sie, ob der alternative Betreffname während der Signierung kopiert wird.

  3. Rufen Sie das signierte Zertifikat im X.509 PEM-Format von der Zertifizierungsstelle ab.

  4. Rufen Sie das CA-Zertifikat im X.509 PEM-Format ab.

  5. Fügen Sie den Inhalt der Zertifikate ein oder kopieren Sie die Zertifikatdateien nach /ddr/var/certificates/.

  6. Beim Kopieren der PEM-Dateien nach /ddr/var/certificates/:

    1. Führen Sie den folgenden Befehl für jede CA-Zertifikatdatei aus. 
      adminaccess certificate import ca application system-management file <filename>
    2. Führen Sie den folgenden Befehl aus, um das Hostzertifikat zu importieren. 
      adminaccess certificate import host application system-management file <filename>

Schritte zum Importieren der PKCS12-Datei für die Systemverwaltung:

Fall-1: PKCS12 enthält nur einen verschlüsselten privaten Schlüssel (mit PBE-SHA1-3DES) und ein signiertes Zertifikat. Die CA-Kette ist nicht im Lieferumfang enthalten.

  1. Verwenden Sie die erforderlichen internen Tools, um einen privaten Schlüssel und eine CSR zu erzeugen und das Zertifikat zu signieren.

  2. Erzeugen Sie die PKCS12-Datei nur mit dem Hostzertifikat und dem privaten Hostschlüssel.

    Hinweis: Schließen Sie keine CA-Zertifikate ein, die das Hostzertifikat in der PKCS12-Datei ausgestellt haben. Diese sind im X.509 PEM-Format verfügbar.

  3. Kopieren Sie die PKCS12-Datei nach /ddr/var/certificates/.

  4. Kopieren Sie das CA-Zertifikat nach /ddr/var/certificates/.

  5. Importieren Sie zuerst das/die CA-Zertifikat(e), das/die das Hostzertifikat ausgestellt hat/haben, indem Sie den folgenden Befehl für jede CA-Zertifikatdatei ausführen.

    adminaccess certificate import ca application system-management file <filename>

  6. Nachdem die CA-Zertifikate importiert wurden, importieren Sie das Hostzertifikat in PKCS12 mithilfe des folgenden Befehls.

    adminaccess certificate import host application system-management file <filename>

Fall-2: PKCS12 enthält einen verschlüsselten privaten Schlüssel (mit PBE-SHA1-3DES), ein signiertes Zertifikat und eine CA-Kette.

  1. Verwenden Sie die erforderlichen internen Tools, um einen privaten Schlüssel und eine CSR zu erzeugen und das Zertifikat zu signieren.

  2. Erzeugen Sie die PKCS12-Datei nur mit dem Hostzertifikat und dem privaten Hostschlüssel.

    Hinweis: Schließen Sie keine CA-Zertifikate ein, die das Hostzertifikat ausgestellt haben. Diese sind im X.509 PEM-Format verfügbar.  Jedes CA-Zertifikat in der Kette bis zur Stamm-CA befindet sich im X.509-PEM.

  3. Kopieren Sie die PKCS12-Datei nach /ddr/var/certificates/.

  4. Führen Sie den folgenden Befehl aus, um das Hostzertifikat zu importieren.

    adminaccess certificate import host application system-management file <filename>

Informationen zum Importieren der Zertifikate über UI finden Sie im folgenden KB-Artikel:
Data Domain – Managen von Hostzertifikaten für HTTP und HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.