Data Domain: Ulkoisesti allekirjoitettujen varmenteiden tuominen porttiin 3009

Yhteenveto: Ulkoisesti allekirjoitettujen varmenteiden tuominen portissa 3009 DDOS-versiosta 7.12.

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.
Tutustu muihin resursseihin

Ohjeet

Huomautus: Tämä tietämyskannan artikkeli koskee vain DDOS 7.12 -versiota ja uudempia.

Järjestelmä voi käyttää tuotuja isäntä- ja CA-varmenteita seuraaviin porteissa 3009 ja 3013 toimiviin järjestelmänhallintapalveluihin:

  • Hallintaviestintä DD-järjestelmän ja DDMC:n välillä
  • Replikointi
  • HA-parin aktiivisten solmujen ja valmiussolmujen välinen tiedonsiirto
  • REST API:n käsittely

Seuraavat edellytykset ovat voimassa:

Isännän varmenteen edellytykset:

  • Järjestelmän salasana on määritettävä muodossa DDR/DDVE/DD-HA.
  • Varmenteen on oltava voimassa (se ei saa vanhentua tai sen voimassaolon on oltava tulevaisuudessa)
  • Isännän varmenteen TULEE:
    • Sisällytä "TLS Web Server Authentication, TLS Web Client Authentication" kohtaan Laajennettu avaimen käyttö.
    • EI sisällä muotoa "CA:TRUE" kohdassa x509v3 Perusrajoitukset.
    • Sisällytä DDR-/DDVE-isäntänimi aiheriville Subject-Alternative-Name, common-name tai molemmat.
    • Sisällytä (jos on HA)
      • HA-järjestelmän nimi aiherivillä subject-alternative-name, common-name tai both.
      • Yksittäisen solmun isäntänimet under subject-alternative-name.
  • Isäntävarmenteeseen suositellaan sisältyvän AKID (Authority Key Identifier) -tunnus kohdassa X509v3-laajennukset.
  • Vain YKSI isäntävarmenne voidaan tuoda.
  • Samaa isäntävarmennetta voi käyttää PowerProtect DD System Managerissa (käyttöliittymä tai DDSM).

CA-varmenteen edellytykset:

  • CA-varmenteen on oltava voimassa (se ei saa olla vanhentunut tai sen voimassaolon on oltava tulevaisuudessa).
  • Sen pitäisi olla CA-varmenne, eli sen tulisi sisältää tarvittavat attribuutit osoittamaan, että se on viranomainen, joka voi myöntää asiakas- ja palvelinvarmenteita.
    • Kuten "CA:TRUE" kohdassa x509v3 Basic Constrains tai.
    • keyUsage- tai keyUsage-kohdassa keyCertSign
    • Itse allekirjoitettu (jos on Root-CA).
  • Jos CA-varmenne tuodaan liittämällä PEM-sisältö, ts. adminaccess certificate import ca application system-management, vain yhden CA-varmenteen voi liittää. Jos niitä on useita, DD tekee virheen loppuun.
  • Jos CA-varmennetta tuodaan tiedostolla, joka on, adminaccess certificate import ca application system-management file <filename>, tiedosto ei saa sisältää useampaa kuin yhtä CA-varmennetta. Jos niitä on useita, DD tekee virheen loppuun.
  • CA-varmenteen tarkoituksena olisi oltava kumottujen varmenteiden luetteloiden (CRL) myöntäminen.
  • Root-CA-varmennetta suositellaan sisältämään Subject Key Identifier -tunnisteen x509v3-laajennuksissa. Intermediate-CA-varmenteiden suositellaan sisältävän Subject-Key-Identifier (SKID) ja Authority-Key-Identifier (AKID) x509 v3 -laajennuksilla.

CLI-tuontimenettely:

PEM-tiedoston tuominen järjestelmänhallintaa varten:

  1. Luo DD-järjestelmän tai Dell APEX Protection Storage -esiintymän CSR ja määritä arvot tarpeen mukaan. Oletusarvoinen CSR ei riitä.

    HUOMAUTUS: Kun mukautetaan tietoja CSR:ssä, avaimen on oltava vähintään 2048 bittiä pitkä, sisällytettävä "all" (sekä "clientAuth" että "serverAuth") kohtaan Extended-key-usage ja sisällytä DD-isäntänimi aiherivin subject-alternative-name- tai common-name-kohtaan.

    Esimerkki:

    # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : California
   City               : Irvine
   Organization Name  : Corp
   Common Name        : abc
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
   Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

  2. Allekirjoita CSR varmenteiden myöntäjän kanssa ja varmista, että aihe-vaihtoehto-nimi kopioidaan allekirjoittamisen aikana.

  3. Hanki allekirjoitettu varmenne X.509 PEM -muodossa varmenteen myöntäjältä.

  4. Hanki CA-varmenne X.509 PEM -muodossa.

  5. Liitä varmenteiden sisältö tai kopioi varmennetiedostot kansioon /ddr/var/certificates/.

  6. Kun PEM-tiedostoja kopioidaan kansioon /ddr/var/certificates/:

    1. Suorita alla oleva komento jokaiselle CA-varmennetiedostolle. 
      adminaccess certificate import ca application system-management file <filename>
    2. Tuo isäntävarmenne suorittamalla alla oleva komento. 
      adminaccess certificate import host application system-management file <filename>

Vaiheet PKCS12-tiedoston tuomiseksi järjestelmänhallintaa varten:

Tapaus 1: PKCS12 sisältää vain salatun yksityisen avaimen (PBE-SHA1-3DES) ja allekirjoitetun varmenteen. CA-ketju ei sisälly hintaan.

  1. Käytä tarvittavia sisäisiä työkaluja yksityisen avaimen ja CSR: n luomiseen ja varmenteen allekirjoittamiseen.

  2. Luo PKCS12-tiedosto käyttäen vain isäntävarmennetta ja isännän yksityistä avainta.

    Huomautus: Älä sisällytä isäntävarmenteen myöntäneitä CA-varmenteita PKCS12-tiedostoon, ne ovat saatavilla X.509-PEM-muodossa.

  3. Kopioi PKCS12-tiedosto kansioon /ddr/var/certificates/.

  4. Kopioi CA-varmenne kansioon /ddr/var/certificates/.

  5. Tuo ensin isäntävarmenteen myöntäneet CA-varmenteet suorittamalla alla oleva komento kullekin CA-varmennetiedostolle.

    adminaccess certificate import ca application system-management file <filename>

  6. Kun CA-varmenteet on tuotu, tuo isäntävarmenne PKCS12:een alla olevalla komennolla.

    adminaccess certificate import host application system-management file <filename>

Tapaus 2: PKCS12 sisältää salatun yksityisen avaimen (PBE-SHA1-3DES), allekirjoitetun varmenteen ja CA-ketjun.

  1. Käytä tarvittavia sisäisiä työkaluja yksityisen avaimen ja CSR: n luomiseen ja varmenteen allekirjoittamiseen.

  2. Luo PKCS12-tiedosto käyttäen vain isäntävarmennetta ja isännän yksityistä avainta.

    Huomautus: Älä liitä mukaan isäntävarmenteen myöntäneitä CA-varmenteita, jotka ovat saatavilla X.509 PEM -muodossa.  Jokainen CA-varmenne ketjussa Root-CA:han asti on X.509-PEM-moduulissa.

  3. Kopioi PKCS12-tiedosto kansioon /ddr/var/certificates/.

  4. Tuo isäntävarmenne suorittamalla alla oleva komento.

    adminaccess certificate import host application system-management file <filename>

Alla olevassa tietämyskannan artikkelissa on lisätietoja varmenteiden tuomisesta käyttöliittymän kautta:
Data Domain - HTTP- ja HTTPS-isäntävarmenteiden hallinta

 

Tuotteet, joihin vaikutus kohdistuu

DD OS 7.12, DD OS 7.13, DD OS 8.1, DD OS 8.0

Tuotteet

Data Domain
Artikkelin ominaisuudet
Artikkelin numero: 000227974
Artikkelin tyyppi: How To
Viimeksi muutettu: 12 jouluk. 2025
Versio:  4
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.