Data Domain: Gerenciando certificados de host para HTTP e HTTPS

Résumé: Os certificados de host permitem que navegadores e aplicativos verifiquem a identidade de um sistema Data Domain ao estabelecer sessões de gerenciamento seguras. O HTTPS é ativado por padrão. O sistema pode usar um certificado autoassinado ou um certificado importado de uma autoridade de certificação (CA) confiável. Este artigo explica como verificar, gerar, solicitar, importar e excluir certificados para HTTP/HTTPS em sistemas Data Domain. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Instructions

Os certificados podem expirar ou se tornar inválidos. Se nenhum certificado for importado, o sistema usará um certificado autoassinado no qual os navegadores ou aplicativos integrados podem não confiar.


  1. Verifique os certificados existentes.

No Data Domain (DD-CLI), execute o seguinte comando para visualizar os certificados instalados:

adminaccess certificate show

Se os certificados estiverem expirados ou próximos da expiração:

  • Se for autoassinado, gere novamente usando o DD-CLI
  • Se for importado, siga as etapas de importação e CSR abaixo.
    1. Gerar certificados autoassinados.

    Para gerar novamente o certificado HTTPS:

    adminaccess certificate generate self-signed-cert
    

    Para gerar novamente HTTPS e certificados confiáveis da CA:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Gerar uma solicitação de assinatura de certificado (CSR)

    Use DD System Manager:

    1. Defina uma frase secreta, se ainda não tiver feito:
    system passphrase set
    
    1. Acesse Administration > Access > Administrator Access.
    2. Selecione HTTPS > Configurar > guia > Certificado Adicionar.
    3. Clique em Generate the CSR para este sistema Data Domain.
    4. Preencha o formulário de CSR e faça download do arquivo em:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Exemplo alternativo de CLI:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Importar certificado assinado

    Use DD System Manager:

    1. Selecione Administration >Access > Administrator Access
    2. Na área Services, selecione HTTPS e clique em Configure
    3. Selecione a guia Certificado
    4. Clique em Adicionar. Uma caixa de diálogo Upload será exibida:
    • No caso de problemas de .p12 do servidor do NetWorker Management Console (NMC):
      • Selecione Fazer upload do certificado como .p12 Arquivo, digite a senha, procure e carregue.
      • Exemplo de .p12 Seleção:
    Fazer upload do certificado como arquivo p12
    • No caso de problemas de .pem do servidor do NetWorker Management Console (NMC):
      • Selecione Upload public key as .pem Arquive e use a chave privada gerada, procure e carregue.

    Alternativa da CLI do DD: Consulte o artigo Data Domain: Como gerar uma solicitação de assinatura de certificado e usar certificados assinados externamente

    1. Exclua o certificado existente.

    Antes de adicionar um novo certificado, exclua o certificado atual:

      1. Acesse a guia Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
      2. Selecione o certificado e clique em Delete.

     

    1. Validação de CSR

    Valide a CSR usando o prompt de comando do Windows:

    certutil -dump <CSR file path>
    1. Solução de problemas: O navegador mostra "certificado não confiável" após a importação de certificado assinado pela CA

    Se o navegador exibir um aviso "certificado não confiável" ou "a conexão não é segura" após importar um certificado assinado pela CA, o arquivo PEM ou P12 importado pode estar ausente certificado(s) CA intermediário(s) na cadeia de certificados.

    Causa: Quando o arquivo importado contém apenas o certificado leaf (servidor) sem o(s) certificado(s) intermediário(s) da CA, o Data Domain atende a uma cadeia de certificados incompleta. Alguns navegadores de desktop podem recuperar automaticamente intermediários ausentes, mas dispositivos móveis, sistemas de monitoramento e operações de confiança de DD para DD falharão.

    Verifique a cadeia de certificados:

    Em uma workstation com OpenSSL instalado, inspecione o arquivo PEM antes da importação:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Esse comando lista todos os certificados do arquivo. Uma cadeia completa deve incluir:

    • O certificado leaf (servidor) (CN do assunto correspondente ao nome do host/FQDN do DD)
    • Um ou mais certificados intermediários da CA
    • Como opção, o certificado raiz da CA

    Se apenas o certificado leaf estiver presente, a cadeia estará incompleta.

    Resolução:

    1. Obtenha o(s) certificado(s) de CA intermediário(s) da equipe da autoridade de certificação corporativa.

    2. Concatene os certificados em um único arquivo PEM na seguinte ordem:

      • Certificado Leaf (primeiro)
      • Certificado(s) CA intermediário(s) (em ordem de cadeia)
      • Certificado raiz da CA (último, opcional)
    3. Exclua o certificado importado atual do Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importe o arquivo PEM reconstruído que contém a cadeia completa usando os procedimentos da GUI ou da CLI da Seção 4 acima.

    Nota: As chaves privada e pública devem ter 2048 bits. O DDOS é compatível com apenas um certificado de host para HTTPS por vez. Se estiver usando o formato .p12, verifique se o arquivo PKCS#12 foi gerado com toda a cadeia de certificados incluída.

    Informations supplémentaires

    • As chaves pública e privada devem ter 2048 bits.
    • O DDOS só é compatível com uma CSR ativa e um certificado assinado para HTTPS por vez.

    Referência: KB de implementação: Data Domain: Como usar certificados assinados externamente

    Produits concernés

    Data Domain
    Propriétés de l’article
    Numéro d’article: 000205198
    Type d’article: How To
    Dernière modification: 07 Jul 2026
    Version:  9
    Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
    Services de support
    Vérifiez si votre appareil est couvert par les services de support.