Домен даних: Як імпортувати сертифікати із зовнішнім підписом на порт 3009

Summary: Як імпортувати сертифікати із зовнішнім підписом на порт 3009 із DDOS версії 7.12.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Примітка: Цей КБ застосовується лише до DDOS 7.12 і новіших версій.

Система може використовувати імпортовані сертифікати хоста і ЦС для наступних служб управління системою, що працюють на портах 3009 і 3013:

  • Управління зв'язком між системою DD і DDMC
  • Реплікація
  • Зв'язок між активним і резервним вузлами пари HA
  • Обробка REST API

Діють такі передумови:

Вимоги до сертифіката господаря:

  • Системний пароль має бути встановлено на DDR/DDVE/DD-HA.
  • Сертифікат повинен бути дійсним (не простроченим або з термінами дії в майбутньому)
  • Сертифікат господаря ПОВИНЕН:
    • Включіть "Автентифікація веб-сервера TLS, автентифікація веб-клієнта TLS" у розділі "Розширене використання ключа".
    • НЕ містить "CA:TRUE" під базовими обмеженнями x509v3.
    • Включіть ім'я хоста DDR/DDVE у розділах Subject-Alternative-Name, common-name або обидва у рядку теми.
    • Включити (якщо є ГК)
      • HA system-name під subject-alternative-name, common-name або обидва в темі листа.
      • Імена хостів окремих вузлів під subject-alternative-name.
  • Рекомендується включати ідентифікатор ключа влади (AKID) у розділі «Розширення X509v3».
  • Можна імпортувати лише ОДИН сертифікат хоста.
  • Той самий сертифікат хоста можна використовувати для PowerProtect DD System Manager (UI або DDSM).

Вимоги до сертифікату ЦС:

  • Сертифікат ЦС повинен бути дійсним (не простроченим або з термінами дії в майбутньому).
  • Це повинен бути сертифікат ЦС, тобто він повинен містити необхідні атрибути для позначення того, що він є Органом, який може видавати сертифікати клієнта та сервера.
    • Наприклад, "CA:TRUE" під базовими обмеженнями x509v3 або.
    • "keyCertSign" у розділі keyUsage або
    • Самопідписаний (це якщо є Root-CA).
  • Якщо сертифікат ЦС імпортується шляхом вставки вмісту PEM, тобто, adminaccess certificate import ca application system-management, можна вставити лише один сертифікат ЦС. Якщо вказано кілька, DD зробить помилку в операції.
  • Якщо сертифікат ЦС імпортується за допомогою файлу, який є, adminaccess certificate import ca application system-management file <filename>, файл не повинен містити більше одного сертифіката ЦС. Якщо вказано кілька, DD зробить помилку в операції.
  • Сертифікат ЦС повинен мати на меті видачу списків відкликання сертифікатів (CRL).
  • Сертифікат Root-CA рекомендується містити ідентифікатор ключа суб'єкта під розширеннями x509v3. Сертифікат(и) Intermediate-CA рекомендується містити ідентифікатори Subject-Key-Identifier (SKID) та Authority-Key-Identifier (AKID) під розширеннями x509 v3.

Процедура імпорту CLI:

Кроки для імпорту PEM-файлу для керування системою:

  1. Згенеруйте CSR у системі DD або екземплярі Dell APEX Protection Storage, встановивши необхідні значення. Корпоративна відповідальність за замовчуванням є недостатньою.

    ПРИМІТКА. При налаштуванні інформації в CSR, ключ повинен мати довжину не менше 2048 біт, включати "all" (як "clientAuth", так і "serverAuth") в Extended-key-usage, а також включати ім'я хоста DD під subject-alternative-name або common-name в рядку теми.

    Приклад:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Підпишіть CSR у CA, і переконайтеся, що subject-alternative-name скопійовано під час підписання.

  3. Отримайте підписаний сертифікат у форматі X.509 PEM у Центрі сертифікації.

  4. Отримайте сертифікат CA у форматі X.509 PEM.

  5. Вставте вміст сертифікатів або скопіюйте файли сертифікатів до /ddr/var/certificates/.

  6. При копіюванні PEM-файлів до /ddr/var/certificates/:

    1. Виконайте наведену нижче команду для кожного файлу сертифіката ЦС. 
      adminaccess certificate import ca application system-management file <filename>
    2. Виконайте наведену нижче команду, щоб імпортувати сертифікат хоста. 
      adminaccess certificate import host application system-management file <filename>

Кроки для імпорту файлу PKCS12 для керування системою:

Ситуація 1: PKCS12 містить лише зашифрований закритий ключ (з PBE-SHA1-3DES) і підписаний сертифікат. Ланцюг СА в комплект не входить.

  1. Використовуйте необхідні внутрішні інструменти для генерації приватного ключа та CSR, а також підписуйте сертифікат.

  2. Згенеруйте файл PKCS12 лише з host-сертифікатом та приватним ключем хоста.

    Примітка: Не включайте будь-які сертифікати ЦС, які видали хост-сертифікат, у файл PKCS12, вони доступні у форматі X.509 PEM.

  3. Скопіюйте файл PKCS12 у файл /ddr/var/certificates/.

  4. Скопіюйте сертифікат ЦС до /ddr/var/certificates/.

  5. Спочатку імпортуйте сертифікати ЦС, які видали хост-сертифікат, виконавши наведену нижче команду для кожного файлу сертифіката ЦС.

    adminaccess certificate import ca application system-management file <filename>

  6. Після імпорту сертифікатів ЦС імпортуйте хост-сертифікат у PKCS12 за допомогою наведеної нижче команди.

    adminaccess certificate import host application system-management file <filename>

Ситуація 2: PKCS12 містить зашифрований закритий ключ (з PBE-SHA1-3DES), підписаний сертифікат і ланцюг CA.

  1. Використовуйте необхідні внутрішні інструменти для генерації приватного ключа та CSR, а також підписуйте сертифікат.

  2. Згенеруйте файл PKCS12 лише з host-сертифікатом та приватним ключем хоста.

    Примітка: Не включайте сертифікати ЦС, які видали хост-сертифікат, вони доступні у форматі X.509 PEM.  Кожен сертифікат ЦС в ланцюжку аж до Root-CA знаходиться в X.509 PEM.

  3. Скопіюйте файл PKCS12 у файл /ddr/var/certificates/.

  4. Виконайте наведену нижче команду, щоб імпортувати сертифікат хоста.

    adminaccess certificate import host application system-management file <filename>

Перегляньте статтю KB нижче, щоб імпортувати сертифікати через UI:
Data Domain - Керування сертифікатами хоста для HTTP та HTTPS

 

Affected Products

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Products

Data Domain
Article Properties
Article Number: 000227974
Article Type: How To
Last Modified: 12 Dec 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.