Data Domain. Управление сертификатами хостов для HTTP и HTTPS
Résumé: Сертификаты хоста позволяют браузерам и приложениям проверять подлинность системы Data Domain при создании сессий безопасного управления. Протокол HTTPS включен по умолчанию. Система может использовать как самозаверяющий сертификат, так и сертификат, импортированный из доверенного источника сертификатов (ЦС). В этой статье объясняется, как проверять, создавать, запрашивать, импортировать и удалять сертификаты для HTTP/HTTPS в системах Data Domain. ...
Instructions
Срок действия сертификатов может истечь, или они могут стать недействительными. Если сертификат не импортируется, система использует самозаверяющий сертификат, которому браузеры или интегрированные приложения могут не доверять.
1. Проверьте существующие сертификаты.
В Data Domain (DD-CLI) выполните следующую команду для просмотра установленных сертификатов:
adminaccess certificate show
Если срок действия сертификатов истек или приближается к концу:
- Если самозаверяющий, создать повторно с помощью DD-CLI
- Если выполняется импорт, выполните приведенные ниже действия по CSR и импорту.
-
2. Создание самозаверяющих сертификатов.
Чтобы повторно создать сертификат HTTPS, выполните следующие действия.
adminaccess certificate generate self-signed-cert
Чтобы повторно создать HTTPS и доверенный сертификат CA, выполните следующие действия.
adminaccess certificate generate self-signed-cert regenerate-ca
3. Создание запроса на подпись сертификата (CSR)
Используйте DD System Manager.
- Установите парольную фразу, если это еще не сделано:
system passphrase set
- Перейдите в раздел Доступ >> администратора Доступ администратора.
- Выберите HTTPS > на вкладке «Настройка сертификата» > и «Добавить>».
- Нажмите Создать CSR для этой системы Data Domain.
- Заполните форму CSR и скачайте файл по адресу:
/ddvar/certificates/CertificateSigningRequest.csr
Альтернативный пример интерфейса командной строки:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
4. Импортировать подписанный сертификат
Используйте DD System Manager.- Выберите Admin >Access > Administrator Access
- В области Сервисы выберите HTTPS и нажмите Настроить
- Выберите вкладку Сертификат
- Нажмите Добавить. Откроется диалоговое окно Upload.
- Для
.p12.- Выберите Загрузить сертификат как.
.p12Файл, введите пароль, найдите и загрузите. - Пример для
.p12Выбор:
- Выберите Загрузить сертификат как.
- Для
.pem.- Выберите Загрузить открытый ключ как:
.pemfile и используйте сгенерированный закрытый ключ, просматривайте и загружайте.
- Выберите Загрузить открытый ключ как:
5. Удаление существующего сертификата.
Прежде чем добавлять новый сертификат, удалите текущий сертификат.
- Перейдите на вкладку Администрирование > Доступ > администратора Доступ > HTTPS > Настройка > сертификата.
- Выберите сертификат и нажмите Удалить.
6. Валидация CSR
Подтвердите CSR с помощью командной строки Windows:
certutil -dump <CSR file path>
Informations supplémentaires
- Закрытый и открытый ключи должны иметь длину 2048 бит.
- DDOS одновременно поддерживает только активный CSR и подписанный сертификат для HTTPS.
См.: База знаний по развертыванию. Data Domain. Как использовать сертификаты с внешней подписью