Data Domain: Gerenciando certificados de host para HTTP e HTTPS
Résumé: Os certificados de host permitem que navegadores e aplicativos verifiquem a identidade de um sistema Data Domain ao estabelecer sessões de gerenciamento seguras. O HTTPS é ativado por padrão. O sistema pode usar um certificado autoassinado ou um certificado importado de uma autoridade de certificação (CA) confiável. Este artigo explica como verificar, gerar, solicitar, importar e excluir certificados para HTTP/HTTPS em sistemas Data Domain. ...
Instructions
Os certificados podem expirar ou se tornar inválidos. Se nenhum certificado for importado, o sistema usará um certificado autoassinado no qual os navegadores ou aplicativos integrados podem não confiar.
- Verifique os certificados existentes.
No Data Domain (DD-CLI), execute o seguinte comando para visualizar os certificados instalados:
adminaccess certificate show
Se os certificados estiverem expirados ou próximos da expiração:
- Se for autoassinado, gere novamente usando o DD-CLI
- Se for importado, siga as etapas de importação e CSR abaixo.
- Gerar certificados autoassinados.
Para gerar novamente o certificado HTTPS:
adminaccess certificate generate self-signed-cert
Para gerar novamente HTTPS e certificados confiáveis da CA:
adminaccess certificate generate self-signed-cert regenerate-ca
- Gerar uma solicitação de assinatura de certificado (CSR)
Use DD System Manager:
- Defina uma frase secreta, se ainda não tiver feito:
system passphrase set
- Acesse Administration > Access > Administrator Access.
- Selecione HTTPS > Configurar > guia > Certificado Adicionar.
- Clique em Generate the CSR para este sistema Data Domain.
- Preencha o formulário de CSR e faça download do arquivo em:
/ddvar/certificates/CertificateSigningRequest.csr
Exemplo alternativo de CLI:
adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
- Importar certificado assinado
Use DD System Manager:
- Selecione Administration >Access > Administrator Access
- Na área Services, selecione HTTPS e clique em Configure
- Selecione a guia Certificado
- Clique em Adicionar. Uma caixa de diálogo Upload será exibida:
- No caso de problemas de
.p12do servidor do NetWorker Management Console (NMC):- Selecione Fazer upload do certificado como
.p12Arquivo, digite a senha, procure e carregue. - Exemplo de
.p12Seleção:
- Selecione Fazer upload do certificado como
- No caso de problemas de
.pemdo servidor do NetWorker Management Console (NMC):- Selecione Upload public key as
.pemArquive e use a chave privada gerada, procure e carregue.
- Selecione Upload public key as
Alternativa da CLI do DD: Consulte o artigo Data Domain: Como gerar uma solicitação de assinatura de certificado e usar certificados assinados externamente
- Exclua o certificado existente.
Antes de adicionar um novo certificado, exclua o certificado atual:
-
- Acesse a guia Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
- Selecione o certificado e clique em Delete.
- Validação de CSR
Valide a CSR usando o prompt de comando do Windows:
certutil -dump <CSR file path>
- Solução de problemas: O navegador mostra "certificado não confiável" após a importação de certificado assinado pela CA
Se o navegador exibir um aviso "certificado não confiável" ou "a conexão não é segura" após importar um certificado assinado pela CA, o arquivo PEM ou P12 importado pode estar ausente certificado(s) CA intermediário(s) na cadeia de certificados.
Causa: Quando o arquivo importado contém apenas o certificado leaf (servidor) sem o(s) certificado(s) intermediário(s) da CA, o Data Domain atende a uma cadeia de certificados incompleta. Alguns navegadores de desktop podem recuperar automaticamente intermediários ausentes, mas dispositivos móveis, sistemas de monitoramento e operações de confiança de DD para DD falharão.
Verifique a cadeia de certificados:
Em uma workstation com OpenSSL instalado, inspecione o arquivo PEM antes da importação:
openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout
Esse comando lista todos os certificados do arquivo. Uma cadeia completa deve incluir:
- O certificado leaf (servidor) (CN do assunto correspondente ao nome do host/FQDN do DD)
- Um ou mais certificados intermediários da CA
- Como opção, o certificado raiz da CA
Se apenas o certificado leaf estiver presente, a cadeia estará incompleta.
Resolução:
-
Obtenha o(s) certificado(s) de CA intermediário(s) da equipe da autoridade de certificação corporativa.
-
Concatene os certificados em um único arquivo PEM na seguinte ordem:
- Certificado Leaf (primeiro)
- Certificado(s) CA intermediário(s) (em ordem de cadeia)
- Certificado raiz da CA (último, opcional)
-
Exclua o certificado importado atual do Data Domain:
adminaccess certificate delete imported-host application https -
Importe o arquivo PEM reconstruído que contém a cadeia completa usando os procedimentos da GUI ou da CLI da Seção 4 acima.
Informations supplémentaires
- As chaves pública e privada devem ter 2048 bits.
- O DDOS só é compatível com uma CSR ativa e um certificado assinado para HTTPS por vez.
Referência: KB de implementação: Data Domain: Como usar certificados assinados externamente