Data Domain : Générer une demande de signature de certificat et utiliser des certificats signés en externe

Résumé: Création d’une demande de signature de certificat (CSR) sur un système Data Domain et importation du certificat signé

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Instructions

Certains utilisateurs ont besoin de certificats signés en externe au lieu des certificats auto-signés, afin d’éviter l’avertissement de sécurité.

Important : Vous ne pouvez pas réutiliser une ancienne CSR qui a déjà été utilisée pour un certificat importé. Chaque CSR est liée au certificat signé qui est importé. Une CSR unique doit donc être générée pour chaque importation d’un certificat nouvellement signé.

Demande de signature de certificat

  1. Une phrase secrète doit être définie sur le système si ce n’est pas déjà le cas :
  #system passphrase set
  1. Générez la demande de signature de certificat :
adminaccess certificate cert-signing-request generate
                [key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
                [country <country-code>] [state <state>] [city <city>]
                [org-name <organization-name>]
                [common-name <common-name>]
                [basic-constraint {CA:TRUE | CA:FALSE}]
                [key-usage {all | cRLsign | digitalSignature | keyCertSign
                                | keyEncipherment | nonRepudiation
                                | <keyUsage-list>}]
                [extended-key-usage {all | clientAuth | serverAuth
                                | <extendedKeyUsage-list>}]
                [subject-alt-name <value>]
                                       Generates a CSR
des informations sur les arguments en faveur de la RSE

Extrait du Guide de référence des commandes de DDOS 7.13 (Vous devez vous connecter au support Dell pour afficher ce document.)
    • 99 % des certificats ne définissent pas de contrainte de base et si c’est le cas, ils utiliseront CA:FALSE
    • keyUsage et extendedKeyUsage sont rarement utilisés mais peuvent être définis en fonction des besoins du client.
    • Pour une CSR générée sur un système haute disponibilité (HA), incluez les noms des systèmes actifs, en veille et HA sous subject-alternative-name.
    • Voici un exemple : "IP:<IP address>, IP:<IP address>, DNS:example.dell.com»
Exemple de commande CSR :
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. Si l’interface utilisateur est accessible, vous pouvez également télécharger la CSR à partir de l’interface utilisateur Web, comme suit :
    1. Administration >Accès >HTTPS >Configurer

Administration -> Accès -> HTTPS -> Configurer

    1. Certificat >Ajouter

Certificat -> ajouter

    1. Téléchargez le fichier CSR :

CSR

  1. Si l’interface utilisateur n’est pas accessible, copiez la demande CSR après avoir été générée. Le fichier est disponible à l’adresse suivante : /ddvar/certificates/CertificateSigningRequest.csr
    1. Le moyen le plus simple de télécharger est avec SCP qui peut être utilisé dans l’invite de commande dans les versions plus récentes de Windows ou dans le terminal Linux
    2. # scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (Lla '.' indique de télécharger la CSR dans le répertoire de travail actuel)
  2. Envoyez la CSR à l’autorité de certification du client pour signature. L’autorité de certification vous restitue le certificat signé. L’autorité de certification peut généralement fournir le certificat signé dans le format de votre choix. DD prend en charge : PEM et PKCS#12 Formats. C’est ce qu’il faut demander à l’autorité de certification. Si le certificat est dans un format différent, il doit être converti avec un programme tel que OpenSSL. En général, la conversion en PEM est la plus facile. Vous trouverez plus d’informations dans l’article DigiCert Comment convertir un certificat au format approprié (lien externe)
  3. Vous pouvez maintenant télécharger le PEM ou PKCS cert dans l’interface utilisateur sur la même page que celle où vous avez téléchargé la CSR :

Télécharger le certificat

  1. Vous pouvez également utiliser la CLI pour effectuer une importation avec :
#adminaccess certificate import host application https
  1.  
Collez le contenu du fichier de certificat signé et press ctrl + d Deux fois pour importer
  1. Si vous rencontrez toujours des problèmes pour l’importer, copiez le fichier signé dans /ddvar/certificates à l’aide de SCP, comme à l’étape 4b
  2. Importez le fichier dans Data Domain en tant que tel :
#adminaccess certificate import host application https file <certificate.pem>
  • Le certificat importé redémarre les services HTTPS ou HTTP, l’interface utilisateur s’arrête pendant environ une minute.
  • Une fois terminé, ouvrez votre navigateur et vérifiez s’il réussit l’avertissement de sécurité. 
  • Un nouveau certificat s’affiche à l’aide de cette commande :
#adminaccess certificate show

 

Si vous rencontrez toujours des problèmes lors de l’importation du certificat, consultez la section Informations supplémentaires ci-dessous.

Informations supplémentaires

Validation
CSRLa CSR peut être validée une fois qu’elle a été générée et hors du Data Domain. L’une de ces méthodes consiste à utiliser Windows certutil.
Enregistrez la CSR sur un système Windows et exécutez l’invite de commande. certutil -dump <CSR with path> 

Exemple :

certutil -dump CSR 


Il s’agit du début de la sortie de la commande et toutes les données de la CSR s’affichent.

Vous pouvez exécuter la même commande sur le certificat signé. Vous devez savoir si le certificat signé est valide pour la CSR si les clés publiques des deux correspondent : 

Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 d9 0b 01 f3 33 b5 39
    0010  9e 52 92 86 6f 40 2e 8f  29 94 95 89 1d 9d 10 a6
    0020  9b f4 b6 f2 3f 4e aa cf  24 96 94 b9 db 62 41 24
    0030  3f 9a 64 22 7d 04 92 5d  2d 57 60 1c 52 40 20 88
    0040  08 2c 2e 43 54 c2 0c 0d  bf 0c e3 bb 1e 30 ab 66
    0050  91 7e 3e 3d a9 b2 fe 89  1d 36 c8 5b c1 e5 ea a2
    0060  74 e1 e8 8b 8d a8 3a 6b  72 c8 47 a4 e2 b8 76 ec
    0070  c0 37 f0 64 85 1f f2 c8  d6 fb 9a aa 0e 49 b4 05
    0080  c4 73 4e 47 3f 61 0b ed  9c d7 fe 69 97 b2 1d 37
    0090  f2 06 1d d8 33 de e1 63  10 de 43 d3 29 47 7d b7
    00a0  aa 2b a2 60 58 88 ae 27  7a 28 35 9c cd 87 63 02
    00b0  ab b5 b4 d2 c0 8e f7 8c  89 b2 fc a3 20 18 6b 41
    00c0  bd 46 cb 6e 78 aa a8 3b  fb cd 08 4d 18 b3 bd a6
    00d0  d9 e3 6a 34 cb ef d4 b0  64 88 a7 6c ec f3 db 1d
    00e0  8e 25 10 d8 0a 03 a1 d7  11 69 e1 6c f2 70 78 62
    00f0  66 27 d8 05 52 53 38 1a  57 2b 13 66 cf 76 4d 4e
    0100  20 90 89 ee ac aa c0 97  6d 02 03 01 00 01

Produits concernés

DD OS

Produits

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
Propriétés de l’article
Numéro d’article: 000021466
Type d’article: How To
Dernière modification: 05 Jun 2026
Version:  12
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.