Data Domain:管理 HTTP 和 HTTPS 主機憑證

Résumé: 主機憑證可讓瀏覽器和應用程式在建立安全管理工作階段時,驗證 Data Domain 系統的身份。HTTPS 預設為啟用。系統可以使用自我簽署憑證,或從受信任的認證機構 (CA) 匯入的憑證。本文說明如何在 Data Domain 系統上檢查、產生、要求、匯入和刪除 HTTP/HTTPS 憑證。

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

憑證可能會到期或失效。如果沒有導入證書,系統將使用自簽名證書,瀏覽器或集成應用程式可能不信任該證書。


  1. 檢查現有憑證。

在 Data Domain (DD-CLI) 上執行下列命令以檢視已安裝的憑證:

adminaccess certificate show

如果憑證已到期或即將到期:

  • 為自我簽署,請使用 DD-CLI 重新產生
  • 如果已匯入,請依照下列 CSR 和匯入步驟操作。
    1. 產生自我簽署憑證。

    若要重新產生 HTTPS 憑證:

    adminaccess certificate generate self-signed-cert
    

    若要重新產生 HTTPS 和受信任的 CA 憑證:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. 產生憑證簽章要求 (CSR)

    使用 DD System Manager:

    1. 設定密碼片語 (若尚未完成):
    system passphrase set
    
    1. 前往 管理 > 存取 > 權系統管理員存取權
    2. 選取 HTTPS > 設定 > 憑證標籤 > 新增
    3. 按一下 產生此 Data Domain 系統的 CSR
    4. 填妥 CSR 表格,並從以下位置下載檔案:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    CLI 替代範例:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. 匯入簽署的憑證

    使用 DD System Manager:

    1. 選取管理 >存取權 > 管理員存取權
    2. 在「服務」區域中,選取 HTTPS ,然後按一下 「設定」
    3. 選取憑證 標籤
    4. 一下「新增」。隨即會顯示上傳對話方塊:
    • 適用於 .p12 檔案:
      • 選取 上傳憑證做為 .p12 檔案、輸入密碼、瀏覽和上傳。
      • 範例 .p12 選擇:
    上傳憑證作為 .p12 檔案
    • 適用於 .pem 檔案:
      • 選取 上傳公開金鑰作為 .pem 檔並使用生成的私鑰,流覽和上傳。

    DD CLI 替代方案:請參閱文章 Data Domain:如何產生憑證簽署要求和使用外部簽署憑證

    1. 刪除現有憑證。

    在新增憑證之前,請先刪除目前的憑證:

      1. 前往 管理 > 存取 > 系統管理員存取 > HTTPS > 設定 > 憑證標籤
      2. 選取憑證,然後按一下 刪除

     

    1. CSR 驗證

    使用 Windows 命令提示字元驗證 CSR:

    certutil -dump <CSR file path>
    1. 故障診斷:CA 簽署的憑證匯入後,瀏覽器顯示「憑證不受信任」

    如果在導入 CA 簽名證書後瀏覽器顯示「證書不受信任」或「連接不安全」警告,則導入的 PEM 或 P12 檔可能缺少證書鏈中的中間 CA 證書。

    Cause: 若匯入的檔案僅包含分葉 (伺服器) 憑證,而沒有中繼 CA 憑證,Data Domain 將提供不完整的憑證鏈。某些桌面瀏覽器可能會自動檢索缺少的中間元件,但行動裝置、監控系統和 DD 對 DD 信任作業將會失敗。

    驗證憑證鏈結:

    在安裝了 OpenSSL 的工作站上,在導入之前檢查 PEM 檔:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    此命令會列出檔案中的所有憑證。完整的鏈條應包括:

    • Leaf (伺服器) 憑證 (與 DD 主機名稱/FQDN 相符的消費者 CN)
    • 一個或多個中間 CA 憑證
    • 或者,根 CA 憑證

    如果僅存在葉證書,則鏈不完整。

    解決方案:

    1. 從企業證書頒發機構團隊獲取中間 CA 證書。

    2. 依下列順序,將憑證串聯為單一 PEM 檔案:

      • Leaf 憑證 (第一個)
      • 中間 CA 憑證(按鏈順序)
      • 根 CA 憑證 (最後,選用)
    3. 從 Data Domain 刪除目前匯入的憑證:

      adminaccess certificate delete imported-host application https
      
    4. 使用上述第 4 節中的 GUI 或 CLI 程序,匯入重建的 PEM 檔案,其中包含完整鏈結。

    注意:私鑰和公鑰必須是 2048 位。DDOS 一次只支援一個 HTTPS 主機憑證。如果使用 .p12 格式,請確保生成 PKCS#12 檔時包含完整的證書鏈。

    Informations supplémentaires

    • 私鑰和公鑰必須為 2048 位
    • DDOS 一次僅支援 作用中 CSR 和 HTTPS 的簽署憑證

    參考資料:部署 KB:Data Domain:如何使用外部簽署憑證

    Produits concernés

    Data Domain
    Propriétés de l’article
    Numéro d’article: 000205198
    Type d’article: How To
    Dernière modification: 07 Jul 2026
    Version:  9
    Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
    Services de support
    Vérifiez si votre appareil est couvert par les services de support.