Data Domain: Generar una solicitud de firma de certificado y usar certificados firmados externamente

Resumen: Creación de una solicitud de firma de certificado (CSR) en un Data Domain e importación del certificado firmado

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Instrucciones

Algunos usuarios necesitan certificados firmados externamente en lugar de certificados autofirmados para evitar la advertencia de seguridad.

Importante: No puede volver a utilizar una CSR antigua que ya se utilizó para un certificado importado. Cada CSR está vinculada al certificado firmado que se importa. Por lo tanto, se debe generar una CSR única para cada importación de un certificado recién firmado.

Solicitud de firma de certificado

  1. El sistema debe tener una frase de contraseña configurada si aún no la tiene:
  #system passphrase set
  1. Genere la solicitud de firma de certificado:
adminaccess certificate cert-signing-request generate
                [key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
                [country <country-code>] [state <state>] [city <city>]
                [org-name <organization-name>]
                [common-name <common-name>]
                [basic-constraint {CA:TRUE | CA:FALSE}]
                [key-usage {all | cRLsign | digitalSignature | keyCertSign
                                | keyEncipherment | nonRepudiation
                                | <keyUsage-list>}]
                [extended-key-usage {all | clientAuth | serverAuth
                                | <extendedKeyUsage-list>}]
                [subject-alt-name <value>]
                                       Generates a CSR
información sobre los argumentos a favor de la RSE

Extraído de la Guía de referencia de comandos de DDOS 7.13 (es necesario iniciar sesión en el soporte de Dell para ver este documento).
    • El 99 % de los certificados no establecen una restricción básica y, si lo hacen, utilizarían CA:FALSE
    • keyUsage y extendedKeyUsage rara vez se utilizan, pero se pueden configurar en función de los requisitos del cliente.
    • Para una CSR generada en un sistema de alta disponibilidad (HA), incluya los nombres de los sistemas activo, en espera y de HA en subject-alternative-name.
    • Uno de los ejemplos es: "IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Un ejemplo de comando CSR:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. Si se puede acceder a la interfaz de usuario, también puede descargar la CSR desde la interfaz de usuario web de la siguiente manera:
    1. Administración >Acceso >HTTPS (en > inglés) Configurar

Administración -> Acceso -> HTTPS -> Configuración

    1. Certificado >Añade

Certificado:> agregar

    1. Descargue la CSR:

CSR

  1. Si no se puede acceder a la interfaz de usuario, copie la solicitud de CSR después de que se genere. El archivo está disponible en: /ddvar/certificates/CertificateSigningRequest.csr
    1. La forma más fácil de descargar es con SCP, que se puede usar en el símbolo del sistema en las versiones más recientes de Windows o en la terminal de Linux
    2. # scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (el '.' dice que se descargue la CSR en el directorio de trabajo actual)
  2. Entregue la CSR a la autoridad de certificación del cliente para que la firme. La CA le devuelve el certificado firmado. Por lo general, la CA puede proporcionar el certificado firmado en el formato que desee. DD soporta PEM y PKCS#12 formatos. Eso debe solicitarse a la CA. Si el certificado está en un formato diferente, se debe convertir con un programa como OpenSSL. Por lo general, se convierte a PEM es el más fácil. Puede encontrar más información en el artículo de DigiCert Cómo convertir un certificado al formato adecuado (Enlace externo)
  3. Ahora puede cargar el archivo PEM o PKCS cert en la UI de en la misma página en la que descargó la CSR:

Cargar certificado

  1. También puede usar la CLI para importar con:
#adminaccess certificate import host application https
  1.  
Pegue el contenido del archivo de certificado firmado y press ctrl + d Dos veces para importar
  1. Si aún tiene problemas para importarlo, copie el archivo firmado en /ddvar/certificates utilizando SCP, como el paso 4b
  2. Importe el archivo a Data Domain de la siguiente manera:
#adminaccess certificate import host application https file <certificate.pem>
  • El certificado importado reinicia los servicios HTTPS o HTTP y la interfaz del usuario deja de funcionar durante un minuto aproximadamente.
  • Una vez que haya terminado, abra su navegador y verifique si pasa la advertencia de seguridad. 
  • Se muestra un nuevo certificado mediante este comando:
#adminaccess certificate show

 

Si aún hay problemas para importar el certificado, consulte la sección de información adicional a continuación.

Información adicional

Validación
de CSRLa CSR se puede validar después de que se haya generado y haya salido de Data Domain. Uno de estos métodos es usar Windows certutil.
Guarde la CSR en un sistema Windows y, mediante el símbolo del sistema, ejecute certutil -dump <CSR with path> 

Ejemplo:

certutil -dump CSR 


Este es el inicio de la salida del comando y se muestran todos los datos de la CSR.

Puede ejecutar el mismo comando en el certificado firmado. Debe saber si el certificado firmado es válido para la CSR si las claves públicas de ambos coinciden: 

Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 d9 0b 01 f3 33 b5 39
    0010  9e 52 92 86 6f 40 2e 8f  29 94 95 89 1d 9d 10 a6
    0020  9b f4 b6 f2 3f 4e aa cf  24 96 94 b9 db 62 41 24
    0030  3f 9a 64 22 7d 04 92 5d  2d 57 60 1c 52 40 20 88
    0040  08 2c 2e 43 54 c2 0c 0d  bf 0c e3 bb 1e 30 ab 66
    0050  91 7e 3e 3d a9 b2 fe 89  1d 36 c8 5b c1 e5 ea a2
    0060  74 e1 e8 8b 8d a8 3a 6b  72 c8 47 a4 e2 b8 76 ec
    0070  c0 37 f0 64 85 1f f2 c8  d6 fb 9a aa 0e 49 b4 05
    0080  c4 73 4e 47 3f 61 0b ed  9c d7 fe 69 97 b2 1d 37
    0090  f2 06 1d d8 33 de e1 63  10 de 43 d3 29 47 7d b7
    00a0  aa 2b a2 60 58 88 ae 27  7a 28 35 9c cd 87 63 02
    00b0  ab b5 b4 d2 c0 8e f7 8c  89 b2 fc a3 20 18 6b 41
    00c0  bd 46 cb 6e 78 aa a8 3b  fb cd 08 4d 18 b3 bd a6
    00d0  d9 e3 6a 34 cb ef d4 b0  64 88 a7 6c ec f3 db 1d
    00e0  8e 25 10 d8 0a 03 a1 d7  11 69 e1 6c f2 70 78 62
    00f0  66 27 d8 05 52 53 38 1a  57 2b 13 66 cf 76 4d 4e
    0100  20 90 89 ee ac aa c0 97  6d 02 03 01 00 01

Productos afectados

DD OS

Productos

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
Propiedades del artículo
Número del artículo: 000021466
Tipo de artículo: How To
Última modificación: 05 jun. 2026
Versión:  12
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.