Data Domain: Gestione dei certificati host per HTTP e HTTPS

Résumé: I certificati host consentono ai browser e alle applicazioni di verificare l'identità di un sistema Data Domain quando stabiliscono sessioni di gestione protette. HTTPS è abilitato per impostazione predefinita. Il sistema può utilizzare un certificato autofirmato o un certificato importato da un'autorità di certificazione (CA) attendibile. Questo articolo spiega come controllare, generare, richiedere, importare ed eliminare i certificati per HTTP/HTTPS sui sistemi Data Domain. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

I certificati potrebbero scadere o diventare non validi. Se non viene importato alcun certificato, il sistema utilizza un certificato autofirmato che i browser o le applicazioni integrate potrebbero non considerare attendibile.


  1. Controllare i certificati esistenti.

In Data Domain (DD-CLI), eseguire il seguente comando per visualizzare i certificati installati:

adminaccess certificate show

Se i certificati sono scaduti o prossimi alla scadenza:

  • Se autofirmato, rigenerarlo utilizzando DD-CLI
  • Se importato, seguire la procedura CSR e di importazione riportata di seguito.
    1. Generare certificati autofirmati.

    Per rigenerare il certificato HTTPS:

    adminaccess certificate generate self-signed-cert
    

    Per rigenerare certificati HTTPS e CA attendibili:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Generare una richiesta di firma del certificato (CSR)

    Utilizzare DD System Manager:

    1. Impostare una passphrase, se non è già stato fatto:
    system passphrase set
    
    1. Accedere ad Administration > Access > Administrator Access.
    2. Selezionare HTTPS > Configure Certificate > tab > Add.
    3. Cliccare su Generate the CSR for this Data Domain system.
    4. Compilare il modulo CSR e scaricare il file da:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Esempio alternativo alla CLI:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Importa certificato firmato

    Utilizzare DD System Manager:

    1. Selezionare Accesso >amministratore >Accesso amministratore
    2. Nell'area Services, selezionare HTTPS e cliccare su Configure
    3. Selezionare la scheda Certificate
    4. Cliccare su Add. Viene visualizzata la finestra di dialogo Upload:
    • Per .p12 del server NetWorker Management Console (NMC):
      • Selezionare Carica certificato come .p12 File, immettere la password, sfogliare e caricare.
      • Esempio per .p12 Selezione:
    Caricare il certificato come.file p12
    • Per .pem del server NetWorker Management Console (NMC):
      • Selezionare Upload public key as .pem File e utilizzo della chiave privata generata, ricerca e upload.

    Alternativa a DD CLI: Fare riferimento all'articolo Data Domain: Come generare una richiesta di firma di certificato e utilizzare certificati firmati esternamente

    1. Eliminare un certificato esistente.

    Prima di aggiungere un nuovo certificato, eliminare il certificato corrente:

      1. Passare alla scheda Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
      2. Selezionare il certificato e cliccare su Delete.

     

    1. Convalida CSR

    Convalidare la CSR utilizzando il prompt dei comandi di Windows:

    certutil -dump <CSR file path>
    1. Risoluzione dei problemi: Il browser mostra "Certificato non attendibile" dopo l'importazione del certificato firmato dalla CA

    Se il browser visualizza un avviso "certificato non attendibile" o "connessione non sicura" dopo l'importazione di un certificato firmato dalla CA, è possibile che nel file PEM o P12 importato manchino i certificati CA intermedi nella catena di certificati.

    Causa: Quando il file importato contiene solo il certificato foglia (server) senza i certificati CA intermedi, Data Domain serve una catena di certificati incompleta. Alcuni browser desktop potrebbero recuperare automaticamente gli intermedi mancanti, ma i dispositivi mobili, i sistemi di monitoraggio e le operazioni di attendibilità da DD a DD avranno esito negativo.

    Verificare la catena di certificati:

    Su una workstation con OpenSSL installato, esaminare il file PEM prima dell'importazione:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Questo comando elenca tutti i certificati nel file. Una catena completa dovrebbe includere:

    • Certificato (server) foglia (CN soggetto corrispondente al nome host/FQDN DD)
    • Uno o più certificati CA intermedi
    • Facoltativamente, il certificato CA radice

    Se è presente solo il certificato foglia, la catena è incompleta.

    Risoluzione:

    1. Ottenere i certificati CA intermedi dal team dell'autorità di certificazione dell'organizzazione.

    2. Concatenare i certificati in un singolo file PEM nell'ordine seguente:

      • Certificato foglia (primo)
      • Certificato(i) CA intermedio (in ordine concatenato)
      • Certificato CA radice (ultimo, opzionale)
    3. Eliminare il certificato importato corrente da Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importare il file PEM ricostruito contenente l'intera catena utilizzando le procedure GUI o CLI nella Sezione 4 precedente.

    Nota: Le chiavi private e pubbliche devono essere a 2048 bit. DDOS supporta un solo certificato host per HTTPS alla volta. Se si utilizza il formato .p12, assicurarsi che il file PKCS#12 sia stato generato con la catena di certificati completa inclusa.

    Informations supplémentaires

    • Le chiavi private e pubbliche devono essere a 2048 bit.
    • DDOS supporta solo una CSR attiva e un certificato firmato per HTTPS alla volta.

    Riferimento: KB di deployment: Data Domain: Come utilizzare certificati firmati esternamente

    Produits concernés

    Data Domain
    Propriétés de l’article
    Numéro d’article: 000205198
    Type d’article: How To
    Dernière modification: 07 Jul 2026
    Version:  9
    Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
    Services de support
    Vérifiez si votre appareil est couvert par les services de support.