Data Domain:如何在端口 3009 上导入外部签名证书
Summary: 如何从 DDOS 版本 7.12 在端口 3009 上导入外部签名证书。
Instructions
对于在端口 3009 和 3013 上运行的以下系统管理服务,系统可以将导入的主机和 CA 证书用于其中:
- DD 系统与 DDMC 之间的管理通信
- 复制
- HA 对的活动节点和备用节点之间的通信
- REST API 处理
以下前提条件适用:
主机证书前提条件:
- 必须在 DDR/DDVE/DD-HA 上设置系统密码。
- 证书必须有效(未过期或有效期在未来)
- 主机证书应:
- 在“扩展密钥用法”下包括“TLS Web 服务器身份验证、TLS Web 客户端身份验证”。
- 在 x509v3 基本约束下不包含“CA:TRUE”。
- 在主题行的主题-备用-名称和/或公用名下包含 DDR/DDVE 的主机名。
- 包括(如果存在 HA)
- 主题行中的 subject-alternative-name、common-name 或两者下的 HA system-name。
- subject-alternative-name下的单个节点的主机名。
- 建议主机证书在“X509v3 扩展”下包含颁发机构密钥标识符 (AKID)。
- 只能导入一个主机证书。
- 同一主机证书可用于 PowerProtect DD System Manager(UI 或 DDSM)。
CA 证书前提条件:
- CA 证书必须有效(未过期或有效期在未来)。
- 它应该是 CA 证书,也就是说,它应包含必要的属性,以指示它是可以颁发客户端和服务器证书的颁发机构。
- 例如 x509v3 基本约束下的“CA:TRUE”或。
- keyUsage 下的“keyCertSign”或
- 自签名(如果存在 Root-CA,则执行此操作)。
- 如果通过粘贴 PEM 内容来导入 CA 证书,即
adminaccess certificate import ca application system-management,则只能粘贴一个 CA 证书。如果提供了多个,DD 将错误地执行操作。 - 如果使用以下文件导入 CA 证书,
adminaccess certificate import ca application system-management file <filename>,则该文件不应包含多个 CA 证书。如果提供了多个,DD 将错误地执行操作。 - CA 证书的目的应该是颁发证书吊销列表 (CRL)。
- 建议根 CA 证书在 x509v3 扩展名下包含主题密钥标识符。建议在 x509 v3 扩展下,中间 CA 证书包含主题密钥标识符 (SKID) 和颁发机构密钥标识符 (AKID)。
CLI 导入过程:
导入用于系统管理的 PEM 文件的步骤:
-
在 DD 系统或 Dell APEX Protection Storage 实例上生成 CSR,并根据需要设置值。默认 CSR 是不够的。
提醒:在 CSR 中自定义信息时,密钥长度必须至少为 2048 位,在 Extended-key-usage 中包含“all”(“clientAuth”和“serverAuth”),并在主题行中包含 subject-alternative-name 下的 DD 主机名或 common-name。示例:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : California City : Irvine Organization Name : Corp Common Name : abc Basic Constraints : Key Usage : Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication Subject Alt Name : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x
-
使用 CA 为 CSR 签名,并验证在签名期间是否复制了 subject-alternative-name。
-
从证书颁发机构获取 X.509 PEM 格式的签名证书。
-
获取 X.509 PEM 格式的 CA 证书。
-
粘贴证书的内容,或将证书文件复制到 /ddr/var/certificates/。
-
将 PEM 文件复制到 /ddr/var/certificates/ 时:
- 为每个 CA 证书文件运行以下命令。
adminaccess certificate import ca application system-management file <filename>
- 运行以下命令以导入主机证书。
adminaccess certificate import host application system-management file <filename>
- 为每个 CA 证书文件运行以下命令。
为系统管理导入 PKCS12 文件的步骤:
案例 1:PKCS12 仅包含加密的私钥(使用 PBE-SHA1-3DES)和签名的证书。不包括 CA 链。
-
使用所需的内部工具生成私钥和 CSR,并签署证书。
-
仅使用主机证书和主机私钥生成 PKCS12 文件。
提醒:请勿在 PKCS12 文件中包含颁发主机证书的任何 CA 证书,这些证书以 X.509 PEM 格式提供。 -
将 PKCS12 文件复制到 /ddr/var/certificates/。
-
将 CA 证书复制到 /ddr/var/certificates/。
-
通过对每个 CA 证书文件运行以下命令,导入首先颁发主机证书的 CA 证书。
adminaccess certificate import ca application system-management file <filename>
-
导入 CA 证书后,使用以下命令在 PKCS12 中导入主机证书。
adminaccess certificate import host application system-management file <filename>
案例 2:PKCS12 包含加密的私钥(使用 PBE-SHA1-3DES)、签名证书和 CA 链。
-
使用所需的内部工具生成私钥和 CSR,并签署证书。
-
仅使用主机证书和主机私钥生成 PKCS12 文件。
提醒:请勿包含任何颁发主机证书的 CA 证书,这些证书以 X.509 PEM 格式提供。 直至 Root-CA 的链中的每个 CA 证书都位于 X.509 PEM 中。 -
将 PKCS12 文件复制到 /ddr/var/certificates/。
-
运行以下命令以导入主机证书。
adminaccess certificate import host application system-management file <filename>
请参阅以下知识库文章以通过 UI 导入证书:
Data Domain — 管理用于 HTTP 和 HTTPS 的主机证书