Data Domain: 인증서 서명 요청 생성 및 외부에서 서명된 인증서 사용

요약: Data Domain에서 CSR(Certificate Signing Request) 생성 및 서명된 인증서 가져오기

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
기타 리소스 확인

지침

일부 사용자는 보안 경고를 방지하기 위해 자체 서명된 인증서 대신 외부에서 서명된 인증서를 요구합니다.

중요: 가져온 인증서에 이미 사용된 이전 CSR은 재사용할 수 없습니다. 각 CSR은 가져온 서명된 인증서에 연결됩니다. 따라서 새로 서명된 인증서를 가져올 때마다 고유한 CSR을 생성해야 합니다.

인증서 서명 요청

  1. 시스템에 암호문구가 설정되어 있지 않은 경우 해당 암호가 설정되어 있어야 합니다.
  #system passphrase set
  1. 인증서 서명 요청을 생성합니다.
adminaccess certificate cert-signing-request generate
                [key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
                [country <country-code>] [state <state>] [city <city>]
                [org-name <organization-name>]
                [common-name <common-name>]
                [basic-constraint {CA:TRUE | CA:FALSE}]
                [key-usage {all | cRLsign | digitalSignature | keyCertSign
                                | keyEncipherment | nonRepudiation
                                | <keyUsage-list>}]
                [extended-key-usage {all | clientAuth | serverAuth
                                | <extendedKeyUsage-list>}]
                [subject-alt-name <value>]
                                       Generates a CSR
CSR의 인수에 대한 정보

DDOS 7.13 명령 참조 가이드에서 가져옴(이 문서를 보려면 Dell 지원에 로그인해야 함)
    • 인증서의 99%는 기본 제약 조건을 설정하지 않으며, 설정된 경우 CA:FALSE
    • keyUsageextendedKeyUsage 거의 사용되지 않지만 고객의 요구 사항에 따라 설정할 수 있습니다.
    • HA(High Availability ) 시스템에서 생성된 CSR의 경우 subject-alternative-name 아래에 활성, 대기 및 HA 시스템 이름을 포함합니다.
    • 예를 들면 다음과 같습니다. "IP:<IP address>, IP:<IP address>, DNS:example.dell.com"
CSR 명령의 예:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. UI에 액세스할 수 있는 경우 다음과 같이 웹 UI에서 CSR을 다운로드할 수도 있습니다.
    1. 관리 >액세스 >HTTPS (영어 >) 구성

관리 - 액세스 ->> HTTPS -> 구성

    1. 인증서 >추가

인증서 -> 추가

    1. CSR다운로드합니다.

CSR

  1. UI에 액세스할 수 없는 경우 CSR 요청을 생성한 후 복사합니다. 파일은 다음 위치에서 사용할 수 있습니다. /ddvar/certificates/CertificateSigningRequest.csr
    1. 다운로드하는 가장 쉬운 방법은 최신 버전의 Windows 명령 프롬프트 또는 Linux 터미널에서 사용할 수 있는 SCP를 사용하는 것입니다.
    2. # scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (Tthe '.' CSR을 현재 작업 디렉토리에 다운로드하라는 메시지가 표시됩니다.)
  2. 서명을 위해 CSR을 고객의 인증 기관에 전달합니다. CA는 서명된 인증서를 다시 제공합니다. CA는 일반적으로 원하는 형식으로 서명된 인증서를 제공할 수 있습니다. DD는 다음을 지원합니다. PEMPKCS#12 형식. CA에 요청해야 합니다. 인증서가 다른 형식인 경우 OpenSSL과 같은 프로그램으로 변환해야 합니다. 일반적으로 PEM 가 가장 쉽습니다. 자세한 내용은 DigiCert 문서 인증서를 적절한 형식으로 변환하는 방법 (외부 링크)에서 확인할 수 있습니다.
  3. 이제 PEM 또는 PKCS CSR을 다운로드한 동일한 페이지의 UI에서 cert:

인증서 업로드

  1. CLI를 사용하여 다음을 사용하여 가져올 수도 있습니다.
#adminaccess certificate import host application https
  1.  
서명된 인증서 파일 내용을 붙여넣고 press ctrl + d 두 번 눌러 가져오기
  1. 가져오는 데 여전히 문제가 있는 경우 서명된 파일을 /ddvar/certificates 4b단계와 같은 SCP 사용
  2. 다음과 같이 파일을 Data Domain으로 가져옵니다.
#adminaccess certificate import host application https file <certificate.pem>
  • 가져온 인증서가 HTTPS 또는 HTTP 서비스를 다시 시작하고 UI가 1분 정도 중단됩니다.
  • 완료되면 브라우저를 열고 보안 경고를 통과하는지 확인하십시오. 
  • 다음 명령을 사용하여 새 인증서가 표시됩니다.
#adminaccess certificate show

 

인증서를 가져오는 데 여전히 문제가 있는 경우 아래의 추가 정보 섹션을 확인하십시오.

추가 정보

CSR 검증
CSR이 생성되고 Data Domain에서 해제된 후 CSR을 검증할 수 있습니다. 그러한 방법 중 하나는 Windows를 사용하는 것입니다 certutil을 클릭합니다.
Windows 시스템에 CSR을 저장하고 명령 프롬프트를 사용하여 다음을 실행합니다. certutil -dump <CSR with path> 

예:

certutil -dump CSR 


이것이 명령 출력의 시작이며 CSR의 모든 데이터가 표시됩니다.

서명된 인증서에 대해 동일한 명령을 실행할 수 있습니다. 두 CSR의 공개 키가 모두 일치하는 경우 서명된 인증서가 CSR에 대해 유효한지 확인해야 합니다. 

Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 d9 0b 01 f3 33 b5 39
    0010  9e 52 92 86 6f 40 2e 8f  29 94 95 89 1d 9d 10 a6
    0020  9b f4 b6 f2 3f 4e aa cf  24 96 94 b9 db 62 41 24
    0030  3f 9a 64 22 7d 04 92 5d  2d 57 60 1c 52 40 20 88
    0040  08 2c 2e 43 54 c2 0c 0d  bf 0c e3 bb 1e 30 ab 66
    0050  91 7e 3e 3d a9 b2 fe 89  1d 36 c8 5b c1 e5 ea a2
    0060  74 e1 e8 8b 8d a8 3a 6b  72 c8 47 a4 e2 b8 76 ec
    0070  c0 37 f0 64 85 1f f2 c8  d6 fb 9a aa 0e 49 b4 05
    0080  c4 73 4e 47 3f 61 0b ed  9c d7 fe 69 97 b2 1d 37
    0090  f2 06 1d d8 33 de e1 63  10 de 43 d3 29 47 7d b7
    00a0  aa 2b a2 60 58 88 ae 27  7a 28 35 9c cd 87 63 02
    00b0  ab b5 b4 d2 c0 8e f7 8c  89 b2 fc a3 20 18 6b 41
    00c0  bd 46 cb 6e 78 aa a8 3b  fb cd 08 4d 18 b3 bd a6
    00d0  d9 e3 6a 34 cb ef d4 b0  64 88 a7 6c ec f3 db 1d
    00e0  8e 25 10 d8 0a 03 a1 d7  11 69 e1 6c f2 70 78 62
    00f0  66 27 d8 05 52 53 38 1a  57 2b 13 66 cf 76 4d 4e
    0100  20 90 89 ee ac aa c0 97  6d 02 03 01 00 01

해당 제품

DD OS

제품

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
문서 속성
문서 번호: 000021466
문서 유형: How To
마지막 수정 시간: 05 6월 2026
버전:  12
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.