Data Domain:管理用于 HTTP 和 HTTPS 的主机证书

Summary: 主机证书允许浏览器和应用程序在建立安全管理会话时验证 Data Domain 系统的身份。默认启用 HTTPS。系统可以使用自签名证书或从受信任的证书颁发机构 (CA) 导入的证书。本文介绍如何在 Data Domain 系统上检查、生成、请求、导入和删除 HTTP/HTTPS 证书。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

证书可能会过期或失效。如果未导入证书,系统将使用浏览器或集成应用程序可能不信任的自签名证书。


  1. 检查现有证书。

在 Data Domain (DD-CLI) 上,运行以下命令以查看已安装的证书:

adminaccess certificate show

如果证书已过期或即将到期:

  • 如果 是自签名,请使用 DD-CLI 重新生成
  • 如果已导入,请按照下面的 CSR 和导入步骤进行操作。
    1. 生成自签名证书。

    要重新生成 HTTPS 证书,请执行以下操作:

    adminaccess certificate generate self-signed-cert
    

    要重新生成 HTTPS 和受信任的 CA 证书,请执行以下操作:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. 生成证书签名请求 (CSR)

    使用 DD System Manager:

    1. 设置密码(如果尚未完成):
    system passphrase set
    
    1. 转至 AdministrationAccessAdministrator > > Access
    2. 选择 HTTPS > 配置 > 证书选项卡 > 添加
    3. 单击Generate the CSR for this Data Domain system
    4. 填写 CSR 表单并从以下位置下载文件:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    CLI 备用示例:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. 导入签名证书

    使用 DD System Manager:

    1. 选择 AdministrationAccessA > >dministrator Access
    2. 在Services区域中,选择 HTTPS ,然后单击 Configure。
    3. 选择“证书” 选项卡
    4. 单击Add。此时将显示上传对话框:
    • 对于 .p12 文件,请执行以下操作:
      • 选择 将证书上传为 .p12 File、Enter password、Browse、Upload。
      • 示例 .p12 选择:
    将证书上传为 .p12 文件
    • 对于 .pem 文件,请执行以下操作:
      • 选择 将公钥上传为 .pem 文件和使用生成的私钥,浏览和上传。

    DD CLI 替代方案:请参阅文章 Data Domain:如何生成证书签名请求并使用外部签名的证书

    1. 删除现有证书。

    在添加新证书之前,请删除当前证书:

      1. 转至AdministrationAccessAdministratorAccessHTTPSConfigureCertificate > > > > >选项卡
      2. 选择证书,然后单击 删除

     

    1. CSR 验证

    使用 Windows 命令提示符验证 CSR:

    certutil -dump <CSR file path>
    1. 故障处理:在导入 CA 签名的证书后浏览器显示“证书不受信任”

    如果在导入 CA 签名的证书后浏览器显示“证书不受信任”或“连接不安全”警告,则导入的 PEM 或 P12 文件可能缺少证书链中的中间 CA 证书。

    原因:如果导入的文件仅包含叶(服务器)证书而没有中间 CA 证书,则 Data Domain 将提供不完整的证书链。某些桌面浏览器可能会自动检索缺失的中间文件,但移动设备、监视系统和 DD 到 DD 的信任操作将失败。

    验证证书链:

    在安装了 OpenSSL 的工作站上,在导入之前检查 PEM 文件:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    此命令将列出文件中的所有证书。完整的链应包括:

    • 叶(服务器)证书(与 DD 主机名/FQDN 匹配的使用者 CN)
    • 一个或多个中间 CA 证书
    • (可选)根 CA 证书

    如果仅存在叶证书,则链不完整。

    解决方法:

    1. 从企业证书颁发机构团队获取中间 CA 证书。

    2. 按以下顺序将证书合并为单个 PEM 文件:

      • 叶证书(第一个)
      • Intermediate CA certificate(s) (in chain order)
      • 根 CA 证书(最后一个,可选)
    3. 从 Data Domain 中删除当前导入的证书:

      adminaccess certificate delete imported-host application https
      
    4. 使用上述第 4 部分中的 GUI 或 CLI 过程,导入包含完整链的重建 PEM 文件。

    注意: 私钥和公钥必须为 2048 位。DDOS 一次仅支持一个用于 HTTPS 的主机证书。如果使用 .p12 格式,请确保生成的 PKCS#12 文件包含完整的证书链。

    Additional Information

    • 私钥和公钥必须为 2048 位
    • DDOS 一次仅支持 HTTPS 的 活动 CSR签名证书

    参考: 部署知识库文章:Data Domain:如何使用外部签名的证书

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.