Data Domain:管理 HTTP 和 HTTPS 主機憑證
Résumé: 主機憑證可讓瀏覽器和應用程式在建立安全管理工作階段時,驗證 Data Domain 系統的身份。HTTPS 預設為啟用。系統可以使用自我簽署憑證,或從受信任的認證機構 (CA) 匯入的憑證。本文說明如何在 Data Domain 系統上檢查、產生、要求、匯入和刪除 HTTP/HTTPS 憑證。
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Instructions
憑證可能會到期或失效。如果沒有導入證書,系統將使用自簽名證書,瀏覽器或集成應用程式可能不信任該證書。
- 檢查現有憑證。
在 Data Domain (DD-CLI) 上執行下列命令以檢視已安裝的憑證:
adminaccess certificate show
如果憑證已到期或即將到期:
- 若 為自我簽署,請使用 DD-CLI 重新產生
- 如果已匯入,請依照下列 CSR 和匯入步驟操作。
- 產生自我簽署憑證。
若要重新產生 HTTPS 憑證:
adminaccess certificate generate self-signed-cert
若要重新產生 HTTPS 和受信任的 CA 憑證:
adminaccess certificate generate self-signed-cert regenerate-ca
- 產生憑證簽章要求 (CSR)
使用 DD System Manager:
- 設定密碼片語 (若尚未完成):
system passphrase set
- 前往 管理 > 存取 > 權系統管理員存取權。
- 選取 HTTPS > 設定 > 憑證標籤 > 新增。
- 按一下 產生此 Data Domain 系統的 CSR。
- 填妥 CSR 表格,並從以下位置下載檔案:
/ddvar/certificates/CertificateSigningRequest.csr
CLI 替代範例:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- 匯入簽署的憑證
使用 DD System Manager:
- 選取管理 >存取權 > 管理員存取權
- 在「服務」區域中,選取 HTTPS ,然後按一下 「設定」
- 選取憑證 標籤
- 按一下「新增」。隨即會顯示上傳對話方塊:
- 適用於
.p12檔案:- 選取 上傳憑證做為
.p12檔案、輸入密碼、瀏覽和上傳。 - 範例
.p12選擇:
- 選取 上傳憑證做為
- 適用於
.pem檔案:- 選取 上傳公開金鑰作為
.pem檔並使用生成的私鑰,流覽和上傳。
- 選取 上傳公開金鑰作為
DD CLI 替代方案:請參閱文章 Data Domain:如何產生憑證簽署要求和使用外部簽署憑證
- 刪除現有憑證。
在新增憑證之前,請先刪除目前的憑證:
-
- 前往 管理 > 存取 > 系統管理員存取 > HTTPS > 設定 > 憑證標籤。
- 選取憑證,然後按一下 刪除。
- CSR 驗證
使用 Windows 命令提示字元驗證 CSR:
certutil -dump <CSR file path>
- 故障診斷:CA 簽署的憑證匯入後,瀏覽器顯示「憑證不受信任」
如果在導入 CA 簽名證書後瀏覽器顯示「證書不受信任」或「連接不安全」警告,則導入的 PEM 或 P12 檔可能缺少證書鏈中的中間 CA 證書。
Cause: 若匯入的檔案僅包含分葉 (伺服器) 憑證,而沒有中繼 CA 憑證,Data Domain 將提供不完整的憑證鏈。某些桌面瀏覽器可能會自動檢索缺少的中間元件,但行動裝置、監控系統和 DD 對 DD 信任作業將會失敗。
驗證憑證鏈結:
在安裝了 OpenSSL 的工作站上,在導入之前檢查 PEM 檔:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
此命令會列出檔案中的所有憑證。完整的鏈條應包括:
- Leaf (伺服器) 憑證 (與 DD 主機名稱/FQDN 相符的消費者 CN)
- 一個或多個中間 CA 憑證
- 或者,根 CA 憑證
如果僅存在葉證書,則鏈不完整。
解決方案:
-
從企業證書頒發機構團隊獲取中間 CA 證書。
-
依下列順序,將憑證串聯為單一 PEM 檔案:
- Leaf 憑證 (第一個)
- 中間 CA 憑證(按鏈順序)
- 根 CA 憑證 (最後,選用)
-
從 Data Domain 刪除目前匯入的憑證:
adminaccess certificate delete imported-host application https -
使用上述第 4 節中的 GUI 或 CLI 程序,匯入重建的 PEM 檔案,其中包含完整鏈結。
注意:私鑰和公鑰必須是 2048 位。DDOS 一次只支援一個 HTTPS 主機憑證。如果使用 .p12 格式,請確保生成 PKCS#12 檔時包含完整的證書鏈。
Informations supplémentaires
- 私鑰和公鑰必須為 2048 位。
- DDOS 一次僅支援 作用中 CSR 和 HTTPS 的簽署憑證 。
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000205198
Type d’article: How To
Dernière modification: 07 Jul 2026
Version: 9
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.