Data Domain:管理用于 HTTP 和 HTTPS 的主机证书
Résumé: 主机证书允许浏览器和应用程序在建立安全管理会话时验证 Data Domain 系统的身份。默认情况下,HTTPS 处于启用状态。系统可以使用自签名证书或从受信任的证书颁发机构 (CA) 导入的证书。本文介绍如何在 Data Domain 系统上检查、生成、请求、导入和删除 HTTP/HTTPS 证书。
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Instructions
证书可能会过期或失效。如果未导入证书,系统将使用自签名证书,浏览器或集成应用程序可能不信任该证书。
- 检查现有证书。
在 Data Domain (DD-CLI) 上,运行以下命令以查看已安装的证书:
adminaccess certificate show
如果证书已过期或即将过期:
- 如果 是自签名,请使用 DD-CLI 重新生成
- 如果已导入,请按照下面的 CSR 和导入步骤操作。
- 生成自签名证书。
要重新生成 HTTPS 证书,请执行以下操作:
adminaccess certificate generate self-signed-cert
要重新生成 HTTPS 和受信任的 CA 证书,请执行以下操作:
adminaccess certificate generate self-signed-cert regenerate-ca
- 生成证书签名请求 (CSR)
使用 DD System Manager:
- 设置密码(如果尚未完成):
system passphrase set
- 转至 AdministrationAccessAdministrator >> Access。
- 选择 HTTPS > Configure > Certificate选项卡 > Add。
- 单击 为此 Data Domain 系统生成 CSR。
- 填写 CSR 表单并从以下位置下载文件:
/ddvar/certificates/CertificateSigningRequest.csr
CLI 替代示例:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- 导入签名证书
使用 DD System Manager:
- 选择 AdministrationAccess >> 管理员访问权限
- 在Services区域中,选择 HTTPS 并单击 Configure
- 选择“证书 ”选项卡
- 单击Add。此时将显示上传对话框:
- 对于
.p12文件中标识的:- 选择 上传证书为
.p12文件,输入密码,浏览和上传。 - 以下示例
.p12选择:
- 选择 上传证书为
- 对于
.pem文件中标识的:- 选择 Upload public key as
.pem文件并使用生成的私钥、浏览和上传。
- 选择 Upload public key as
DD CLI 备选方案:请参阅文章 Data Domain:如何生成证书签名请求并使用外部签名的证书
- 删除现有证书。
在添加新证书之前,请删除当前证书:
-
- 转至AdministrationAccessAdministrator >> AccessHTTPSConfiguration >> Certificate>选项卡。
- 选择证书,然后单击 删除。
- CSR验证
使用 Windows 命令提示符验证 CSR:
certutil -dump <CSR file path>
- 故障处理:导入 CA 签名的证书后浏览器显示“证书不受信任”
如果浏览器在导入 CA 签名证书后显示“证书不受信任”或“连接不安全”警告,则导入的 PEM 或 P12 文件可能在证书链中缺少中间 CA 证书。
原因:当导入的文件仅包含叶(服务器)证书而不包含中间 CA 证书时,Data Domain 将提供不完整的证书链。某些桌面浏览器可能会自动检索缺失的中间项,但移动设备、监视系统和 DD 到 DD 信任操作将失败。
验证证书链:
在安装了 OpenSSL 的工作站上,在导入之前检查 PEM 文件:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
此命令列出文件中的所有证书。完整的供应链应包括:
- 叶(服务器)证书(主题 CN 与 DD 主机名/FQDN 匹配)
- 一个或多个中间 CA 证书
- (可选)根 CA 证书
如果仅存在叶证书,则链不完整。
解决方案:
-
从企业证书颁发机构团队处获取中间 CA 证书。
-
按以下顺序将证书连接到单个 PEM 文件中:
- 叶证书(第一个)
- 中间 CA 证书(按链顺序)
- 根 CA 证书(最后一个,可选)
-
从 Data Domain 中删除当前导入的证书:
adminaccess certificate delete imported-host application https -
使用上面第 4 节中的 GUI 或 CLI 过程导入包含完整链的重建的 PEM 文件。
提醒:私钥和公钥必须为 2048 位。DDOS 一次仅支持一个用于 HTTPS 的主机证书。如果使用 .p12 格式,请确保生成的 PKCS#12 文件包含完整的证书链。
Informations supplémentaires
- 私钥和公钥必须为 2048 位。
- DDOS 一次仅支持 活动 CSR 和用于 HTTPS 的签名证书 。
Produits concernés
Data DomainPropriétés de l’article
Numéro d’article: 000205198
Type d’article: How To
Dernière modification: 07 Jul 2026
Version: 9
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.