Data Domain : Comment générer une demande de signature de certificat et utiliser des certificats signés en externe
Riepilogo: Création d’une demande de signature de certificat (CSR) sur un système Data Domain.
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Istruzioni
Certains utilisateurs ont besoin de certificats signés en externe au lieu des certificats auto-signés, afin d’éviter l’avertissement de sécurité. Si le système Data Domain ou Cloud Tier utilise le gestionnaire de clés de chiffrement externe RSA Data Protection Manager (DPM), il a besoin d’un certificat hôte PKCS12 et d’un certificat d’autorité au format de certificat public Privacy Enhanced Mail (PEM) pour établir une connexion approuvée entre le serveur RSA Data Protection Manager et chaque système Data Domain qu’il gère.
Demande de signature de
certificatLa demande de signature de certificat est disponible à l’emplacement suivant :
Une fois terminé, ouvrez votre navigateur et vérifiez s’il réussit l’avertissement de sécurité.
Un nouveau certificat s’affiche à l’aide de cette commande :
Demande de signature de
certificatLa demande de signature de certificat est disponible à l’emplacement suivant :
/ddvar/certificates/CertificateSigningRequest.csr
- Le système doit disposer d’une phrase secrète définie.
system passphrase set
- Générer la demande de signature de certificat
#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value] Vous pouvez obtenir ces informations auprès de l’utilisateur. Il est recommandé d’utiliser une taille de clé de 2 048 bits :
- Force de la clé privée : Les valeurs d’énumération autorisées sont 1 024 bits, 2 048 bits, 3 072 bits ou 4 096 bits. La valeur par défaut est 2048 bits.
- Pays : La valeur par défaut est US. Cette abréviation ne peut pas dépasser deux caractères. Aucun caractère spécial n’est autorisé.
- State: La valeur par défaut est California. L’entrée ne doit pas dépasser 128 caractères.
- Ville : La valeur par défaut est Santa Clara. L’entrée ne doit pas dépasser 128 caractères.
- Nom de l’organisation : La valeur par défaut est My Company Ltd. L’entrée ne doit pas dépasser 64 caractères.
- Unité organisationnelle : La valeur par défaut est une chaîne vide. L’entrée ne doit pas dépasser 64 caractères.
- Nom commun: La valeur par défaut est le nom d’hôte du système. L’entrée ne doit pas dépasser 64 caractères.
- Nom alternatif de l’objet : Définit un ou plusieurs noms alternatifs pour l’identité utilisable par le certificat généré après la signature de cette CSR par l’autorité de certification. Le nom alternatif peut être utilisé en plus du nom d’objet du certificat ou à la place du nom d’objet. Il s’agit notamment d’une adresse e-mail, d’un URI (Uniform Resource Indicator), d’un nom de domaine (DNS), d’un ID enregistré (RID) : ID D’OBJET, une adresse IP, un nom unique (dirName) et un autre nom
- Pour une CSR générée sur un système haute disponibilité (HA), incluez les noms des systèmes actifs, en veille et HA sous subject-alternative-name.
- Voici un exemple :
IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Exemple de commande CSR :
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144" Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : Cali City : Santa Clara Organization Name : Dreamin Common Name : Beach_Boys Basic Constraints : Key Usage : Extended Key Usage : Subject Alt Name : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
- Copiez la demande CSR après sa génération et remettez-la à l’autorité de certification du client pour signature. Le fichier est disponible à l’adresse suivante :
/ddvar/certificates/CertificateSigningRequest.csr - CA vous restitue un fichier signé au format .cer ou .pem.
- Copiez le fichier signé dans
/ddvar/certficates - Importez le fichier dans Data Domain en tant que tel :
#adminaccess certificate import host application https file FILENAME.cerLe certificat importé redémarre les services HTTPS ou HTTP. Il est donc préférable que vous soyez déconnecté de l’interface utilisateur avant d’exécuter cette commande.
Une fois terminé, ouvrez votre navigateur et vérifiez s’il réussit l’avertissement de sécurité.
Un nouveau certificat s’affiche à l’aide de cette commande :
#adminaccess certificate show
Informazioni aggiuntive
Validation
CSR ============
la CSR peut être validée une fois qu’elle a été générée et hors du Data Domain. L’une de ces méthodes consiste à utiliser Windows certutil.
Enregistrez la CSR sur un système Windows et exécutez l’invite de commande. certutil -dump <CSR with path>
Exemple :
Il s’agit du début de la sortie de la commande et toutes les données de la CSR s’affichent.
Prodotti interessati
DD OSProdotti
DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2Proprietà dell'articolo
Numero articolo: 000021466
Tipo di articolo: How To
Ultima modifica: 07 ott 2025
Versione: 11
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.