Data Domain：DDの外部でのCSRの生成

Summary: このKB記事では、外部システムを使用して証明書署名リクエストを作成する方法と、外部CAによる署名済み証明書を作成する方法について説明します。これにより、結果の証明書をData DomainにインポートしてHTTP(SSLを介したDD GUI)で使用できます。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Instructions

ほとんどの場合、このKBを使用してCSRを生成し、証明書をインポートします。

Data Domain:HTTPおよびHTTPSのホスト証明書の管理

まれに、このKBは、DD自体でCSRを生成できない場合に使用されます。

CA署名済み証明書をインポートすると、信頼できるサードパーティーによって署名されていない証明書に対するブラウザーチェックをバイパスすることなく、Data Domain System ManagerへのHTTPSアクセスが可能になります。DD GUIへの最初のSSL接続が確立されると、外部署名証明書または自己署名証明書を使用してトラフィックが盗聴から均等に保護されます。信頼を得るには、SSLアクセス権を持つすべてのホストに内部CAまたは外部CAのいずれかによって署名された証明書を要求する場合があります

この外部署名付き証明書の作成には、さまざまな方法があります。DD OS 6.2.0.35以降では、DD CLIコマンド「adminaccess certificate cert-signing-request generate」を使用して証明書署名要求(CSR)を作成することをお勧めします。証明書署名リクエストは、選択したCAに送信して署名します。署名済み証明書は、HTTPSのDDにインポートされます。詳細については、KB記事「Data Domain: 証明書署名要求を生成し、外部署名付き証明書を使用する方法

もう1つのアプローチは、署名するCSRを生成するために、最近のOpenSSLライブラリとバイナリがインストールされたネットワーク内の別のホストを使用することです。署名済み証明書を取得したら、署名済み証明書と証明書に関連づけられているプライベートキーをBitにかけ、DDへの転送とインポートを手動で行います。このプロセスは次のとおりです。

Linux、UNIX、またはOpenSSLがインストールされているその他のサーバーにログインし、最初に公開キーとプライベートキーのペアを生成します。DDはデフォルトで2048ビットキーを生成しますが、1024ビットキーは推奨されておらず、4096ビットキーは少し多すぎるかもしれません。

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

最初の手順で生成されたプライベートキーを使用して証明書署名要求(CSR)を生成し、共通名、Eメールアドレス、国と都市など、署名するCSRの詳細を指定します。

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

ほとんどのOpenSSLインストールよりも、RFC 3280の必須要件である「subjectAltName」拡張子は、CSRに追加されず、要求されないことに注意してください。一部のプライベートおよびパブリックCAは、この拡張機能がないためにCSRの処理を拒否する場合があります。GUIに使用されるDD証明書の場合、ブラウザーからアクセスするときの「subjectAltName」はDDのFQDNである必要があります。

OpenSSL 1.1.1を使用している場合、CSRの作成時に「subjetAltName」を指定するには、「OpenSSL」コマンドライン自体から実行できます。そうでない場合は、/etc/ssl/openssl.cnfを変更することになりますが、これはこのドキュメントの範囲外です。OpenSSL 1.1.1以降を使用している場合:

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

CSRファイル「host_csr.csr」を取得し、対応するCAにアップロードして署名します。CAが内部の場合は、CA管理者に渡すか、通常のプロセスで署名します(以下のようなコマンドラインを使用する必要があります)。

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

メモ: 署名プロセスでサーバーソフトウェアを選択する必要がある場合は、[Tomcat]を選択します。

注：「OpenSSL」コマンドを使用してCSRに署名する場合は、結果として得られる証明書が「subjectAltName」拡張子を保持するように、コマンドラインにオプションを追加する必要がある場合があります。結果の証明書に拡張子があるかどうかを確認するには、次のような操作を実行します。

# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com

いずれの場合も、通常、結果は.pemまたは.cerでエンコードされた証明書ファイル(この例では「host_cert.pem」)になります。証明書をDDにインポートするには、最初のステップで生成された(プライベート)キーと一緒に、PKCS#12形式で証明書をバンドルする必要があります。最初のステップを実行したのと同じホストから、次の手順を実行します。

# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

PKCS#12ファイルのパスワードを設定することが重要です。そうしないと、Data Domainで証明書のインポートが失敗します。証明書がインストールされた後、Data Domainを通常どおり使用する場合、パスワードの入力は求められません。「-keypbe PBE-SHA1-3DES」および「-certpbe PBE-SHA1-3DES」引数は、CAの変更時にサポートされている「PBE-SHA1-3DES」のアルゴリズムが使用されるようにするためのものです。これにより、エンドユーザーが署名済み証明書をインポートしようとしたときにエラーが発生するのを回避できます。

生成された「host.p12」証明書ファイルをData Domainの「/ddr/var/certificates/」ディレクトリーにコピーします(たとえば、DDにSCPを使用します)。

# scp host.p12 sysadmin@DD_HOSTNAME_OR_IP:/ddr/var/certificates/

外部で生成および署名された証明書をData Domainにインポートする前に、Data Domainに既存のCSRがないことを確認します。Data Domainは、インポートされた証明書をシステム上の任意のCSRと照合しようとします。存在する場合は一致せず、インポートされた証明書のロードを拒否し、次のエラーメッセージが表示されます。

Imported host certificate does not match the generated CSR

システムに既存のCSRがあるかどうかを確認します。

# adminaccess certificate cert-signing-request show

既存のCSRがある場合は、先に進む前に削除します。そうしないと、証明書のインポートが失敗します。

# adminaccess certificate cert-signing-request delete

CLIから新しい証明書をインポートします。前の手順でPKCS#12を作成するために使用したパスワードを入力し、「application https」を使用して、DD System ManagerまたはDDMC GUI用にインポートされた証明書を使用します。

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

注：「adminaccess certificate show」に 、HTTPSのインポートされたホスト証明書が一覧表示されます。https のデフォルトの自己署名証明書は、使用されていませんと注記されます。

Additional Information

このコンテンツは、次の言語に翻訳されています。

https://downloads.dell.com/TranslatedPDF/PT-BR_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/ZH-CN_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/ES_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/DE_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/FR_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/IT_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/JA_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/NL_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/KO_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/RU_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/PT_KB533409.pdf

https://downloads.dell.com/TranslatedPDF/SV_KB533409.pdf

Affected Products

Data Domain

Article Number: 000231595

Article Type: How To

Last Modified: 09 Jan 2025

Version: 3

Check if your device is covered by Support Services.

Data Domain：DDの外部でのCSRの生成

Instructions

ほとんどの場合、このKBを使用してCSRを生成し、証明書をインポートします。

まれに、このKBは、DD自体でCSRを生成できない場合に使用されます。

Additional Information

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services

Data Domain：DDの外部でのCSRの生成

Detailed Article

Instructions

Additional Info

Affected Products

Instructions

ほとんどの場合、このKBを使用してCSRを生成し、証明書をインポートします。

まれに、このKBは、DD自体でCSRを生成できない場合に使用されます。

Additional Information

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services