Data Domain: DD 외부에서 CSR 생성

Summary: 이 KB 문서에서는 외부 시스템을 사용하여 인증서 서명 요청을 생성하고 외부 CA에서 서명된 인증서를 생성하여 결과 인증서를 HTTP(SSL을 통한 DD GUI)를 Data Domain으로 가져오는 방법에 대해 설명합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

대부분의 경우 이 KB를 사용하여 CSR을 생성하고 인증서를 가져올 수 있습니다.

Data Domain - HTTP 및 HTTPS의 호스트 인증서 관리

드물지만 이 KB는 DD 자체에서 CSR을 생성할 수 없을 때 사용됩니다.

 

 

CA 서명 인증서를 가져오면 신뢰할 수 있는 타사에서 서명하지 않은 인증서에 대한 브라우저 검사를 우회하지 않고도 HTTPS로 Data Domain System Manager에 액세스할 수 있습니다. DD GUI에 대한 첫 번째 SSL 연결이 설정되면 외부에서 서명된 인증서 또는 자체 서명된 인증서를 사용하여 트래픽이 도청으로부터 동일하게 보호됩니다. 회사는 SSL 액세스 권한이 있는 모든 호스트에 신뢰를 위해 내부 CA 또는 외부 CA에서 서명한 인증서가 있어야 합니다.

이 외부 서명된 인증서를 만드는 방법에는 여러 가지가 있습니다. DD OS 6.2.0.35 이상에서는 DD CLI 명령 "adminaccess certificate cert-signing-request generate"를 사용하여 서명을 위해 선택한 CA에 제출할 CSR(Certificate Signing Request)을 생성하는 것이 좋습니다. 그런 다음 서명된 인증서를 HTTPS용 DD로 가져옵니다. 모든 세부 정보는 KB 문서 Data Domain: 인증서 서명 요청을 생성하고 외부에서 서명된 인증서를

사용하는 방법다른 방법은 최근에 설치된 OpenSSL 라이브러리 및 바이너리 세트와 함께 네트워크에서 별도의 호스트를 사용하여 서명할 CSR을 생성하는 것입니다. 서명된 인증서를 얻은 후에는 서명된 인증서와 인증서의 연결된 개인 키를 비트하여 수동으로 DD로 전송하고 가져옵니다. 이 프로세스는 다음과 같습니다.    

  1. OpenSSL이 설치된 Linux, UNIX 또는 기타 서버에 로그인하고 먼저 공개/개인 키 쌍을 생성합니다. DD는 기본적으로 2048비트 키를 생성하며, 1024비트 키는 권장되지 않으며, 4096비트 키는 다소 과도할 수 있습니다.    

# openssl genrsa -out hostkey.pem 2048
Generating RSA private key, 2048 bit long modulus
........+++
...+++
e is 65537 (0x10001)

  1. 첫 번째 단계에서 생성된 개인 키를 사용하여 CSR(Certificate Signing Request)을 생성하고 서명할 CSR에 일반 이름, 이메일 주소, 국가 및 도시 등의 세부 정보를 제공합니다.

# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

 

대부분의 OpenSSL 설치와 달리 RFC 3280에 따른 필수 요구 사항인 "subjectAltName" 확장은 CSR에 추가되거나 요청되지 않습니다. 일부 사설 및 공용 CA는 이 확장이 없기 때문에 CSR 처리를 거부할 수 있습니다. GUI에 사용되는 DD 인증서의 경우 브라우저에서 액세스할 때 "subjectAltName"이 DD의 FQDN이어야 합니다.
 

CSR을 생성할 때 "subjetAltName"을 지정하려면 OpenSSL 1.1.1을 사용하는 경우 "OpenSSL" 명령줄 자체에서 수행할 수 있습니다. 그렇지 않은 경우 이 문서의 범위를 벗어나는 /etc/ssl/openssl.cnf가 변경됩니다. OpenSSL 1.1.1 이상을 사용하는 경우:    

 

# openssl version
OpenSSL 1.1.1  11 Sep 2018
# openssl req -new -sha256 -key hostkey.pem -out host_csr.csr -addext "subjectAltName = DNS:www.example.com"
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Francisco
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc.
Organizational Unit Name (eg, section) []:IT Department
Common Name (e.g. server FQDN or YOUR name) []:www.example.com
Email Address []:webmaster@example.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

  1. 서명을 위해 CSR 파일 "host_csr.csr"을 가져와서 해당 CA에 업로드합니다. CA가 내부인 경우 CA 관리자에게 제공하거나 일반 프로세스(아래와 같은 명령줄을 사용해야 함)를 통해 서명합니다.   

# openssl x509 -req -in host_csr.csr -CA CA/cacert.pem -CAkey CA/cakey.pem -out host_cert.pem -CAcreateserial
Signature ok
subject=/C=CH/ST=California/L=San Francisco/O=Example Inc./OU=IT Department/CN=www.example.com/emailAddress=webmaster@example.com
Getting CA Private Key

 

참고: 서명 프로세스에 서버 소프트웨어를 선택해야 하는 경우 Tomcat을 선택합니다.
 
참고: "OpenSSL" 명령을 사용하여 CSR에 서명하는 경우 결과 인증서가 "subjectAltName" 확장명을 유지하도록 명령줄에 더 많은 옵션을 추가해야 할 수 있습니다. 결과 인증서에 확장명이 있는지 확인하려면 다음과 유사한 명령을 실행합니다.    
  
# openssl x509 -in host_cert.pem -text -noout | grep -A1 "Subject Alternative Name"
            X509v3 Subject Alternative Name:
                DNS:www.example.com
  1.  어쨌든 결과는 일반적으로 .pem 또는 .cer 인코딩된 인증서 파일(예: "host_cert.pem")입니다. DD에서 인증서를 가져오려면 첫 번째 단계에서 생성된 (개인) 키와 함께 PKCS#12 형식으로 번들로 제공해야 합니다. 첫 번째 단계가 실행된 동일한 호스트에서 다음을 수행합니다.    
# openssl.exe pkcs12 -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -out host.p12 -inkey hostkey.pem -in host_cert.pem

Enter Export Password:
Verifying - Enter Export Password:

 

PKCS#12 파일에 비밀번호를 설정하는 것이 중요합니다. 비밀번호를 설정하지 않으면 Data Domain에서 인증서 가져오기가 실패합니다. 인증서를 설치한 후에는 정상적으로 Data Domain을 사용할 때 비밀번호를 입력하라는 메시지가 표시되지 않습니다. '-keypbe PBE-SHA1-3DES' 및 '-certpbe PBE-SHA1-3DES' 인수는 CA를 수정할 때 지원되는 "PBE-SHA1-3DES" 알고리즘이 사용되는지 확인하기 위한 것입니다. 이렇게 하면 최종 사용자가 서명된 인증서를 가져오려고 할 때 오류가 발생하는 것을 방지할 수 있습니다.

  1. 결과로 생성된 "host.p12" 인증서 파일을 Data Domain의 "/ddr/var/certificates/" 디렉토리에 복사합니다(예: DD에 SCP 사용).

# scp host.p12 sysadmin@DD_HOSTNAME_OR_IP:/ddr/var/certificates/
  1. 외부에서 생성되고 서명된 인증서를 Data Domain으로 가져오기 전에 Data Domain에 기존 CSR이 없는지 확인합니다. Data Domain은 가져온 인증서를 시스템의 CSR과 일치시키려고 시도합니다. CSR이 있으면 일치하지 않고 다음 오류 메시지와 함께 가져온 인증서의 로드가 거부됩니다.    
Imported host certificate does not match the generated CSR

시스템에 기존 CSR이 있는지 확인합니다.    

# adminaccess certificate cert-signing-request show

기존 CSR이 있는 경우 더 진행하기 전에 삭제하십시오. 그렇지 않으면 인증서 가져오기가 실패합니다.    

# adminaccess certificate cert-signing-request delete

  1. CLI에서 새 인증서를 가져옵니다. 이전 단계에서 PKCS#12를 생성하는 데 사용한 비밀번호를 입력하고 "application https"를 사용하여 DD System Manager 또는 DDMC GUI용으로 가져온 인증서를 사용합니다.    

# adminaccess certificate import host application https file host.p12
Enter password:
**   Importing the certificate will restart the http/https services and currently active http/https user sessions will be terminated.
        Do you want to import this certificate? (yes|no) [yes]: yes
Host certificate imported for applications(s) : "https".

 

참고: "adminaccess certificate show" 는 이제 HTTPS에 대해 가져온 호스트 인증서를 나열해야 합니다. https에 대한 기본 자체 서명 인증서는 Not in use로 표시됩니다.

Additional Information

이 콘텐츠는 다음과 같은 기타 언어로 번역되어 있습니다. 
https://downloads.dell.com/TranslatedPDF/PT-BR_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/ZH-CN_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/ES_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/DE_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/FR_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/IT_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/JA_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/NL_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/KO_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/RU_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/PT_KB533409.pdf
https://downloads.dell.com/TranslatedPDF/SV_KB533409.pdf

Affected Products

Data Domain
Article Properties
Article Number: 000231595
Article Type: How To
Last Modified: 09 Jan 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.