Data Domain: Managen von Hostzertifikaten für HTTP und HTTPS

Summary: Mit Hostzertifikaten können Browser und Anwendungen die Identität eines Data Domain-Systems beim Einrichten sicherer Managementsitzungen überprüfen. HTTPS ist standardmäßig aktiviert. Das System kann entweder ein selbstsigniertes Zertifikat oder ein importiertes Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) verwenden. In diesem Artikel wird erläutert, wie Sie Zertifikate für HTTP/HTTPS auf Data Domain-Systemen prüfen, erzeugen, anfordern, importieren und löschen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Zertifikate können ablaufen oder ungültig werden. Wenn kein Zertifikat importiert wird, verwendet das System ein selbstsigniertes Zertifikat, dem Browser oder integrierte Anwendungen möglicherweise nicht vertrauen.


  1. Überprüfen Sie vorhandene Zertifikate.

Führen Sie auf Data Domain (DD-CLI) den folgenden Befehl aus, um installierte Zertifikate anzuzeigen:

adminaccess certificate show

Wenn Zertifikate abgelaufen sind oder kurz vor dem Ablauf stehen:

  • Bei Selbstsignierung mit DD-CLI neu generieren
  • Befolgen Sie beim Import die folgenden CSR- und Importschritte.
    1. Erstellen von selbstsignierten Zertifikaten.

    So erzeugen Sie das HTTPS-Zertifikat neu:

    adminaccess certificate generate self-signed-cert
    

    So erzeugen Sie HTTPS und vertrauenswürdige CA-Zertifikate erneut:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Zertifikatsignierungsanforderung (CSR) erstellen

    Verwenden Sie DD System Manager:

    1. Legen Sie eine Passphrase fest, falls diese noch nicht geschehen ist:
    system passphrase set
    
    1. Navigieren Sie zu Administration > Access > Administrator Access.
    2. Wählen Sie HTTPS > Configure > Certificate Registerkarte > Add aus.
    3. Klicken Sie auf Generate the CSR for this Data Domain system.
    4. Füllen Sie das CSR-Formular aus und laden Sie die Datei herunter unter:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Beispiel für eine CLI-Alternative:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Signiertes Zertifikat importieren

    Verwenden Sie DD System Manager:

    1. Wählen Sie Administration > Access > AAdministratorzugriff
    2. Wählen Sie im Bereich Services die Option HTTPS aus und klicken Sie auf Configure
    3. Wählen Sie die Registerkarte Certificate aus
    4. Klicken Sie auf Hinzufügen. Ein Dialogfeld zum Hochladen wird angezeigt:
    • Für .p12 -Datei zu senden:
      • Wählen Sie Zertifikat hochladen als .p12 Datei, Kennwort eingeben, navigieren und hochladen.
      • Beispiel für .p12 Auswahl:
    Zertifikat als p12-Datei hochladen
    • Für .pem -Datei zu senden:
      • Wählen Sie Öffentlichen Schlüssel hochladen als .pem Dateien speichern und generierten privaten Schlüssel verwenden, durchsuchen und hochladen.

    DD CLI-Alternative: Lesen Sie den Artikel Data Domain: So erzeugen Sie eine Zertifikatsignieranforderung und verwenden extern signierte Zertifikate

    1. Vorhandenes Zertifikat löschen.

    Bevor Sie ein neues Zertifikat hinzufügen, löschen Sie das aktuelle Zertifikat:

      1. Navigieren Sie zur Registerkarte Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
      2. Wählen Sie das Zertifikat aus und klicken Sie auf Delete.

     

    1. CSR-Validierung

    Validieren der CSR mithilfe der Windows-Eingabeaufforderung:

    certutil -dump <CSR file path>
    1. Troubleshooting: Browser zeigt nach dem Import des von der Zertifizierungsstelle signierten Zertifikats "Zertifikat nicht vertrauenswürdig" an

    Wenn der Browser nach dem Importieren eines von einer Zertifizierungsstelle signierten Zertifikats die Warnung "Zertifikat nicht vertrauenswürdig" oder "Verbindung ist nicht sicher" anzeigt, fehlen in der importierten PEM- oder P12-Datei möglicherweise ein oder mehrere CA-Zwischenzertifikate in der Zertifikatskette.

    Ursache: Wenn die importierte Datei nur das Leaf-Zertifikat (Serverzertifikat) ohne das/die Zwischenzertifikat(e) der CA enthält, bedient die Data Domain eine unvollständige Zertifikatkette. Einige Desktop-Browser können fehlende Zwischenprodukte automatisch abrufen, aber mobile Geräte, Überwachungssysteme und DD-zu-DD-Vertrauensvorgänge schlagen fehl.

    Überprüfen Sie die Zertifikatkette:

    Überprüfen Sie auf einer Workstation, auf der OpenSSL installiert ist, die PEM-Datei vor dem Import:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Dieser Befehl listet alle Zertifikate in der Datei auf. Eine vollständige Kette sollte Folgendes umfassen:

    • Das Leaf-Zertifikat (Server) (Betreff-CN, der mit dem DD-Hostnamen/FQDN übereinstimmt)
    • Ein oder mehrere CA-Zwischenzertifikate
    • Optional das Stammzertifikat der Zertifizierungsstelle

    Wenn nur das untergeordnete Zertifikat vorhanden ist, ist die Kette unvollständig.

    Lösung:

    1. Rufen Sie das/die CA-Zwischenzertifikat(e) vom Team der Zertifizierungsstelle des Unternehmens ab.

    2. Verketten Sie die Zertifikate in einer einzigen PEM-Datei in der folgenden Reihenfolge:

      • Untergeordnetes Zertifikat (zuerst)
      • CA-Zwischenzertifikat(e) (in Reihenfolge)
      • Root-CA-Zertifikat (letztes, optional)
    3. Löschen Sie das aktuell importierte Zertifikat aus der Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importieren Sie die rekonstruierte PEM-Datei, die die gesamte Kette enthält, mithilfe der GUI- oder CLI-Verfahren in Abschnitt 4 oben.

    Hinweis: Private und öffentliche Schlüssel müssen 2048 Bit sein. DDOS unterstützt jeweils nur ein Hostzertifikat für HTTPS . Wenn Sie das .p12-Format verwenden, stellen Sie sicher, dass die PKCS#12-Datei mit der vollständigen Zertifikatkette erzeugt wurde.

    Additional Information

    • Private und öffentliche Schlüssel müssen 2048 Bit sein.
    • DDOS unterstützt nur aktive CSR und ein signiertes Zertifikat für HTTPS gleichzeitig.

    Referenz: Wissensdatenbank-Artikel zur Bereitstellung: Data Domain: Verwendung extern signierter Zertifikate

    Affected Products

    Data Domain
    Article Properties
    Article Number: 000205198
    Article Type: How To
    Last Modified: 07 Jul 2026
    Version:  9
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.