Data Domain:如何產生憑證簽署要求和使用外部簽署憑證

요약: 在 Data Domain 上建立憑證簽署要求 (CSR)。

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
기타 리소스 확인

지침

某些使用者需要外部簽署憑證,而不是自我簽署憑證,以避免出現安全性警告。如果 Data Domain 系統或雲端層使用 RSA Data Protection Manager (DPM) 外部加密金鑰管理程式,則需要 PKCS12 主機憑證和隱私強化郵件授權憑證 (PEM) 公用憑證格式,才能在 RSA Data Protection Manager 伺服器與其管理的每個 Data Domain 系統之間建立受信任的連線。

憑證簽署要求
憑證簽署要求在此位置可用: /ddvar/certificates/CertificateSigningRequest.csr
  1. 系統應已設定密碼片語。 
system passphrase set
  1. 產生憑證簽署要求
#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value]
您可以從使用者處取得此資訊,建議使用 2048 位金鑰大小:
  • 私密金鑰強度:允許的枚舉值為 1024 位、2048 位、3072 位或 4096 位。預設值為 2048 位元。
  • 國:預設值為 US。此縮寫不能超過兩個字元。不允許使用特殊字元。
  • 州:預設值為加利福尼亞州。條目長度上限為 128 個字元。
  • 城:預設值為 Santa Clara。條目長度上限為 128 個字元。
  • 組織名稱:預設值為「我的有限公司」。條目長度上限為 64 個字元。
  • 組織單位:預設值為空字串。條目長度上限為 64 個字元。
  • 常見名稱:預設值為系統主機名稱。條目長度上限為 64 個字元。
  • 主體別名:為 CA 簽署此 CSR 後生成的證書可使用的標識定義一個或多個備用名稱。除了證書的使用者名稱之外,還可以使用備用名稱,也可以代替使用者名稱。其中包括電子郵件位址、統一資源指示符 (URI)、功能變數名稱 (DNS)、註冊 ID (RID):物件識別碼、IP 位址、可分辨名稱 (dirName) 和其他名稱
    • 對於在高可用性 (HA) 系統上生成的 CSR,請在主旨替代名稱下包括活動、備用和 HA 系統名稱。
    • 其中一個例子是: IP:<IP address>, IP:<IP address>, DNS:example.dell.com
CSR 命令範例: 
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. 在 CSR 要求產生後將其複製,並交給客戶的認證機構進行簽署。檔案位於: /ddvar/certificates/CertificateSigningRequest.csr
  2. CA 會以 .cer 或 .pem 格式將您返回簽名檔。
  3. 將已簽署的檔案複製到 /ddvar/certficates
  4. 將檔案匯入 Data Domain,如下所示:
#adminaccess certificate import host application https file FILENAME.cer
匯入的憑證會重新開機 HTTPS 或 HTTP 服務,因此最好先登出 UI,再執行此命令。

完成後,打開瀏覽器並檢查它是否通過了安全警告。

會使用此命令顯示新憑證: 
#adminaccess certificate show

추가 정보

CSR 驗證
============
CSR 可在 Data Domain 產生後進行驗證。其中一種方法是使用 Windows certutil
在 Windows 系統上儲存 CSR,並使用命令提示字元執行 certutil -dump <CSR with path>
範例:

image.png

這是命令輸出的開始,CSR 中的所有數據都會顯示。

해당 제품

DD OS

제품

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
문서 속성
문서 번호: 000021466
문서 유형: How To
마지막 수정 시간: 07 10월 2025
버전:  11
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.