Data Domain : Comment générer une demande de signature de certificat et utiliser des certificats signés en externe

Résumé: Création d’une demande de signature de certificat (CSR) sur un système Data Domain.

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Certains utilisateurs ont besoin de certificats signés en externe au lieu des certificats auto-signés, afin d’éviter l’avertissement de sécurité. Si le système Data Domain ou Cloud Tier utilise le gestionnaire de clés de chiffrement externe RSA Data Protection Manager (DPM), il a besoin d’un certificat hôte PKCS12 et d’un certificat d’autorité au format de certificat public Privacy Enhanced Mail (PEM) pour établir une connexion approuvée entre le serveur RSA Data Protection Manager et chaque système Data Domain qu’il gère.

Demande de signature de
certificatLa demande de signature de certificat est disponible à l’emplacement suivant : /ddvar/certificates/CertificateSigningRequest.csr
  1. Le système doit disposer d’une phrase secrète définie. 
system passphrase set
  1. Générer la demande de signature de certificat
#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value]
Vous pouvez obtenir ces informations auprès de l’utilisateur. Il est recommandé d’utiliser une taille de clé de 2 048 bits :
  • Force de la clé privée : Les valeurs d’énumération autorisées sont 1 024 bits, 2 048 bits, 3 072 bits ou 4 096 bits. La valeur par défaut est 2048 bits.
  • Pays : La valeur par défaut est US. Cette abréviation ne peut pas dépasser deux caractères. Aucun caractère spécial n’est autorisé.
  • State: La valeur par défaut est California. L’entrée ne doit pas dépasser 128 caractères.
  • Ville : La valeur par défaut est Santa Clara. L’entrée ne doit pas dépasser 128 caractères.
  • Nom de l’organisation : La valeur par défaut est My Company Ltd. L’entrée ne doit pas dépasser 64 caractères.
  • Unité organisationnelle : La valeur par défaut est une chaîne vide. L’entrée ne doit pas dépasser 64 caractères.
  • Nom commun: La valeur par défaut est le nom d’hôte du système. L’entrée ne doit pas dépasser 64 caractères.
  • Nom alternatif de l’objet : Définit un ou plusieurs noms alternatifs pour l’identité utilisable par le certificat généré après la signature de cette CSR par l’autorité de certification. Le nom alternatif peut être utilisé en plus du nom d’objet du certificat ou à la place du nom d’objet. Il s’agit notamment d’une adresse e-mail, d’un URI (Uniform Resource Indicator), d’un nom de domaine (DNS), d’un ID enregistré (RID) : ID D’OBJET, une adresse IP, un nom unique (dirName) et un autre nom
    • Pour une CSR générée sur un système haute disponibilité (HA), incluez les noms des systèmes actifs, en veille et HA sous subject-alternative-name.
    • Voici un exemple : IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Exemple de commande CSR : 
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. Copiez la demande CSR après sa génération et remettez-la à l’autorité de certification du client pour signature. Le fichier est disponible à l’adresse suivante : /ddvar/certificates/CertificateSigningRequest.csr
  2. CA vous restitue un fichier signé au format .cer ou .pem.
  3. Copiez le fichier signé dans /ddvar/certficates
  4. Importez le fichier dans Data Domain en tant que tel :
#adminaccess certificate import host application https file FILENAME.cer
Le certificat importé redémarre les services HTTPS ou HTTP. Il est donc préférable que vous soyez déconnecté de l’interface utilisateur avant d’exécuter cette commande.

Une fois terminé, ouvrez votre navigateur et vérifiez s’il réussit l’avertissement de sécurité. 

Un nouveau certificat s’affiche à l’aide de cette commande : 
#adminaccess certificate show

Informations supplémentaires

Validation
CSR ============
la CSR peut être validée une fois qu’elle a été générée et hors du Data Domain. L’une de ces méthodes consiste à utiliser Windows certutil.
Enregistrez la CSR sur un système Windows et exécutez l’invite de commande. certutil -dump <CSR with path>
Exemple :

image.png

Il s’agit du début de la sortie de la commande et toutes les données de la CSR s’affichent.

Produits concernés

DD OS

Produits

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
Propriétés de l’article
Numéro d’article: 000021466
Type d’article: How To
Dernière modification: 07 oct. 2025
Version:  11
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.