Data Domain: Cómo importar certificados firmados externamente en el puerto 3009

Summary: Cómo importar certificados firmados externamente en el puerto 3009 desde DDOS versión 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Nota: Este artículo de la base de conocimientos solo se aplica a DDOS 7.12 y versiones posteriores.

El sistema puede usar certificados de host y CA importados para los siguientes servicios de administración de sistema que se ejecutan en los puertos 3009 y 3013:

  • Comunicación de administración entre el sistema de DD y DDMC
  • Replicación
  • Comunicación entre los nodos activos y en espera de un par de HA
  • Manejo de la API REST

Se aplican los siguientes requisitos previos:

Requisitos previos del certificado de host:

  • La frase de contraseña del sistema se debe establecer en DDR/DDVE/DD-HA.
  • El certificado debe ser válido (no estar vencido ni tener fechas de validez en el futuro)
  • El certificado de host DEBERÍA:
    • Incluya "TLS Web Server Authentication, TLS Web Client Authentication" en Extended Key Usage.
    • NO contiene "CA:TRUE" en las restricciones básicas de x509v3.
    • Incluya el nombre de host de DDR/DDVE en Asunto-Nombre alternativo, Nombre común o ambos en la línea de asunto.
    • Include (si hay HA)
      • Nombre del sistema de alta disponibilidad en asunto-nombre-alternativo, nombre-común o ambos en la línea de asunto.
      • Nombres de host de nodos individuales en subject-alternative-name.
  • Se recomienda que el certificado de host incluya el identificador de clave de autoridad (AKID) en "X509v3 extensions".
  • Solo se puede importar UN certificado de host.
  • Se puede utilizar el mismo certificado de host para PowerProtect DD System Manager (UI o DDSM).

Requisitos previos del certificado de CA:

  • El certificado de CA debe ser válido (no debe estar vencido ni tener fechas de validez en el futuro).
  • Debe ser un certificado de CA, es decir, debe contener los atributos necesarios para indicar que es una autoridad que puede emitir certificados de cliente y servidor.
    • Como "CA:TRUE" en las restricciones básicas de x509v3 o.
    • "keyCertSign" en keyUsage o
    • Autofirmado (esto es si hay Root-CA).
  • Si se importa un certificado de CA pegando el contenido de PEM, es decir, adminaccess certificate import ca application system-management, solo se puede pegar un certificado de CA. Si se proporcionan varias, DD producirá un error en la operación.
  • Si se importa un certificado de CA mediante un archivo, es decir, adminaccess certificate import ca application system-management file <filename>, el archivo no debe contener más de un certificado de CA. Si se proporcionan varias, DD producirá un error en la operación.
  • El certificado de CA debe tener el propósito de emitir listas de revocación de certificados (CRL).
  • Se recomienda que el certificado de CA raíz contenga el identificador de clave de asunto en las extensiones x509v3. Se recomienda que los certificados de CA intermedia contengan el identificador de clave de sujeto (SKID) y el identificador de clave de autoridad (AKID) en las extensiones x509 v3.

Procedimiento de importación de la CLI:

Pasos para importar un archivo PEM para la administración del sistema:

  1. Genere la CSR en el sistema DD o en la instancia de Dell APEX Protection Storage y configure los valores según sea necesario. La CSR predeterminada no es suficiente.

    NOTA: Al personalizar la información en la CSR, la clave debe tener al menos 2048 bits de longitud, incluir "todos" (tanto "clientAuth" como "serverAuth") en el uso extendido de claves e incluir el nombre de host de DD en subject-alternative-name o common-name en la línea de asunto.

    Ejemplo:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Firme la CSR con la CA y verifique que el asunto-nombre-alternativo se copie durante la firma.

  3. Obtenga el certificado firmado en formato PEM X.509 de la autoridad de certificación.

  4. Obtenga el certificado de CA en formato PEM X.509.

  5. Pegue el contenido de los certificados o copie los archivos de certificado en /ddr/var/certificates/.

  6. Cuando copie los archivos PEM en /ddr/var/certificates/:

    1. Ejecute el siguiente comando para cada archivo de certificado de CA. 
      adminaccess certificate import ca application system-management file <filename>
    2. Ejecute el siguiente comando para importar el certificado del host. 
      adminaccess certificate import host application system-management file <filename>

Pasos para importar un archivo PKCS12 para la administración del sistema:

Caso 1: PKCS12 contiene solo una clave privada cifrada (con PBE-SHA1-3DES) y un certificado firmado. La cadena CA no está incluida.

  1. Utilice las herramientas internas necesarias para generar una clave privada y una CSR, y firme el certificado.

  2. Genere el archivo PKCS12 solo con el certificado del host y la clave privada del host.

    Nota: No incluya ningún certificado de CA que haya emitido el certificado de host en el archivo PKCS12; estos están disponibles en formato PEM X.509.

  3. Copie el archivo PKCS12 en /ddr/var/certificates/.

  4. Copie el certificado de CA en /ddr/var/certificates/.

  5. Importe primero los certificados de CA que emitieron el certificado de host mediante la ejecución del siguiente comando para cada archivo de certificado de CA.

    adminaccess certificate import ca application system-management file <filename>

  6. Una vez que se importen los certificados de CA, importe el certificado de host en PKCS12 mediante el siguiente comando.

    adminaccess certificate import host application system-management file <filename>

Caso 2: PKCS12 contiene una clave privada cifrada (con PBE-SHA1-3DES), un certificado firmado y una cadena de CA.

  1. Utilice las herramientas internas necesarias para generar una clave privada y una CSR, y firme el certificado.

  2. Genere el archivo PKCS12 solo con el certificado del host y la clave privada del host.

    Nota: No incluya ningún certificado de CA que haya emitido el certificado de host; estos están disponibles en formato X.509 PEM.  Cada certificado de CA en la cadena hasta la CA raíz se encuentra en el PEM X.509.

  3. Copie el archivo PKCS12 en /ddr/var/certificates/.

  4. Ejecute el siguiente comando para importar el certificado del host.

    adminaccess certificate import host application system-management file <filename>

Consulte el siguiente artículo de la base de conocimientos para importar los certificados a través de la interfaz de usuario:
Data Domain: Administración de certificados de host para HTTP y HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.