Data Domain:管理用于 HTTP 和 HTTPS 的主机证书

Résumé: 主机证书允许浏览器和应用程序在建立安全管理会话时验证 Data Domain 系统的身份。默认情况下,HTTPS 处于启用状态。系统可以使用自签名证书或从受信任的证书颁发机构 (CA) 导入的证书。本文介绍如何在 Data Domain 系统上检查、生成、请求、导入和删除 HTTP/HTTPS 证书。

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

证书可能会过期或失效。如果未导入证书,系统将使用自签名证书,浏览器或集成应用程序可能不信任该证书。


  1. 检查现有证书。

在 Data Domain (DD-CLI) 上,运行以下命令以查看已安装的证书:

adminaccess certificate show

如果证书已过期或即将过期:

  • 如果 是自签名,请使用 DD-CLI 重新生成
  • 如果已导入,请按照下面的 CSR 和导入步骤操作。
    1. 生成自签名证书。

    要重新生成 HTTPS 证书,请执行以下操作:

    adminaccess certificate generate self-signed-cert
    

    要重新生成 HTTPS 和受信任的 CA 证书,请执行以下操作:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. 生成证书签名请求 (CSR)

    使用 DD System Manager:

    1. 设置密码(如果尚未完成):
    system passphrase set
    
    1. 转至 AdministrationAccessAdministrator >> Access
    2. 选择 HTTPS > Configure > Certificate选项卡 > Add
    3. 单击 为此 Data Domain 系统生成 CSR
    4. 填写 CSR 表单并从以下位置下载文件:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    CLI 替代示例:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. 导入签名证书

    使用 DD System Manager:

    1. 选择 AdministrationAccess >> 管理员访问权限
    2. 在Services区域中,选择 HTTPS 并单击 Configure
    3. 选择“证书 ”选项卡
    4. 单击Add。此时将显示上传对话框:
    • 对于 .p12 文件中标识的:
      • 选择 上传证书为 .p12 文件,输入密码,浏览和上传。
      • 以下示例 .p12 选择:
    上传证书 as.p12 文件
    • 对于 .pem 文件中标识的:
      • 选择 Upload public key as .pem 文件并使用生成的私钥、浏览和上传。

    DD CLI 备选方案:请参阅文章 Data Domain:如何生成证书签名请求并使用外部签名的证书

    1. 删除现有证书。

    在添加新证书之前,请删除当前证书:

      1. 转至AdministrationAccessAdministrator >> AccessHTTPSConfiguration >> Certificate>选项卡
      2. 选择证书,然后单击 删除

     

    1. CSR验证

    使用 Windows 命令提示符验证 CSR:

    certutil -dump <CSR file path>
    1. 故障处理:导入 CA 签名的证书后浏览器显示“证书不受信任”

    如果浏览器在导入 CA 签名证书后显示“证书不受信任”或“连接不安全”警告,则导入的 PEM 或 P12 文件可能在证书链中缺少中间 CA 证书。

    原因:当导入的文件仅包含叶(服务器)证书而不包含中间 CA 证书时,Data Domain 将提供不完整的证书链。某些桌面浏览器可能会自动检索缺失的中间项,但移动设备、监视系统和 DD 到 DD 信任操作将失败。

    验证证书链:

    在安装了 OpenSSL 的工作站上,在导入之前检查 PEM 文件:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    此命令列出文件中的所有证书。完整的供应链应包括:

    • 叶(服务器)证书(主题 CN 与 DD 主机名/FQDN 匹配)
    • 一个或多个中间 CA 证书
    • (可选)根 CA 证书

    如果仅存在叶证书,则链不完整。

    解决方案:

    1. 从企业证书颁发机构团队处获取中间 CA 证书。

    2. 按以下顺序将证书连接到单个 PEM 文件中:

      • 叶证书(第一个)
      • 中间 CA 证书(按链顺序)
      • 根 CA 证书(最后一个,可选)
    3. 从 Data Domain 中删除当前导入的证书:

      adminaccess certificate delete imported-host application https
      
    4. 使用上面第 4 节中的 GUI 或 CLI 过程导入包含完整链的重建的 PEM 文件。

    提醒:私钥和公钥必须为 2048 位。DDOS 一次仅支持一个用于 HTTPS 的主机证书。如果使用 .p12 格式,请确保生成的 PKCS#12 文件包含完整的证书链。

    Informations supplémentaires

    • 私钥和公钥必须为 2048 位
    • DDOS 一次仅支持 活动 CSR 和用于 HTTPS 的签名证书

    参考:部署知识库文章:Data Domain:如何使用外部签名证书

    Produits concernés

    Data Domain
    Propriétés de l’article
    Numéro d’article: 000205198
    Type d’article: How To
    Dernière modification: 07 Jul 2026
    Version:  9
    Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
    Services de support
    Vérifiez si votre appareil est couvert par les services de support.