Data Domain: 포트 3009에서 외부에서 서명된 인증서를 가져오는 방법

시스템은 포트 3009 및 3013에서 실행되는 다음 시스템 관리 서비스에 가져온 호스트 및 CA 인증서를 사용할 수 있습니다.

• DD 시스템과 DDMC 간의 관리 통신
• 복제
• HA 쌍의 활성 노드와 대기 노드 간의 통신
• REST API 처리

다음과 같은 사전 요구 사항이 적용됩니다.

호스트 인증서 사전 요구 사항:

• 시스템 암호문구는 DDR/DDVE/DD-HA에서 설정해야 합니다.
• 인증서는 유효해야 합니다(만료되지 않았거나 유효 날짜가 미래에 존재하지 않아야 함).
• 호스트 인증서는 다음을 수행해야 합니다.
  • 확장 키 사용 아래에 "TLS 웹 서버 인증, TLS 웹 클라이언트 인증"을 포함합니다.
  • x509v3 기본 제약 조건에서 "CA:TRUE"를 포함하지 않습니다.
  • 제목 줄의 Subject-Alternative-Name, 일반 이름 또는 둘 다에 DDR/DDVE의 호스트 이름을 포함합니다.
  • 포함(HA가 있는 경우)
    • 제목 줄에서 subject-alternative-name, 일반 이름 또는 둘 다의 HA 시스템 이름입니다.
    • subject-alternative-name 아래에 있는 개별 노드의 호스트 이름입니다.
• 호스트 인증서는 "X509v3 확장" 아래에 AKID(기관 키 식별자)를 포함하는 것이 좋습니다.
• 하나의 호스트 인증서만 가져올 수 있습니다.
• PowerProtect DD System Manager(UI 또는 DDSM)에 동일한 호스트 인증서를 사용할 수 있습니다.

CA 인증서 사전 요구 사항:

• CA 인증서는 유효해야 합니다(만료되지 않았거나 유효 날짜가 미래에 존재하지 않아야 함).
• CA 인증서여야 합니다. 즉, 클라이언트 및 서버 인증서를 발급할 수 있는 기관임을 나타내는 데 필요한 특성이 포함되어야 합니다.
  • x509v3 기본 제한에서 "CA : TRUE"와 같거나.
  • keyUsage 아래의 "keyCertSign" 또는
  • 자체 서명(Root-CA가 있는 경우)
• PEM 콘텐츠를 붙여넣어 CA 인증서를 가져오는 경우, 즉 adminaccess certificate import ca application system-management, 하나의 CA 인증서만 붙여넣을 수 있습니다. 여러 개가 제공되면 DD가 작업에서 오류를 발생시킵니다.
• 다음과 같은 파일을 사용하여 CA 인증서를 가져오는 경우 adminaccess certificate import ca application system-management file <filename>, 파일에 둘 이상의 CA 인증서가 포함되어서는 안 됩니다. 여러 개가 제공되면 DD가 작업에서 오류를 발생시킵니다.
• CA 인증서는 CRL(Certificate Revocation List)을 발급할 목적이 있어야 합니다.
• 루트 CA 인증서는 x509v3 확장에서 주체 키 식별자를 포함하는 것이 좋습니다. 중간 CA 인증서는 x509 v3 확장에 SKID(Subject-Key-Identifier) 및 AKID(Authority-Key-Identifier)를 포함하는 것이 좋습니다.

CLI 가져오기 절차:

시스템 관리를 위해 PEM 파일을 가져오는 단계:

1. 필요에 따라 값을 설정하여 DD 시스템 또는 Dell APEX Protection Storage 인스턴스에서 CSR을 생성합니다. 기본 CSR로는 충분하지 않습니다.

   참고: CSR의 정보를 맞춤 구성할 때 키 길이는 2048비트 이상이어야 하고, 확장 키 사용에 "all"("clientAuth" 및 "serverAuth" 모두)을 포함하고, 제목 줄의 subject-alternative-name 또는 common-name 아래에 DD 호스트 이름을 포함해야 합니다.

   예:

   # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
   Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
   With following parameters:
      Key Strength       : 2048
      Country            : US
      State              : California
      City               : Irvine
      Organization Name  : Corp
      Common Name        : abc
      Basic Constraints  :
      Key Usage          :
      Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
      Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

2. CA로 CSR에 서명하고 서명 중에 subject-alternative-name이 복사되었는지 확인합니다.

3. 인증 기관에서 X.509 PEM 형식의 서명된 인증서를 가져옵니다.

4. X.509 PEM 형식으로 CA 인증서를 가져옵니다.

5. 인증서의 내용을 붙여 넣거나 인증서 파일을 /ddr/var/certificates/에 복사합니다.

6. PEM 파일을 /ddr/var/certificates/에 복사하는 경우:

   1. 각 CA 인증서 파일에 대해 아래 명령을 실행합니다.

      adminaccess certificate import ca application system-management file <filename>

   2. 아래 명령을 실행하여 호스트 인증서를 가져옵니다.

      adminaccess certificate import host application system-management file <filename>

시스템 관리를 위해 PKCS12 파일을 가져오는 단계:

사례 -1 : PKCS12에는 암호화된 개인 키(PBE-SHA1-3DES 포함)와 서명된 인증서만 포함되어 있습니다. CA 체인은 포함되어 있지 않습니다.

1. 필요한 내부 툴을 사용하여 개인 키 및 CSR을 생성하고 인증서에 서명합니다.

2. 호스트 인증서 및 호스트 개인 키만 사용하여 PKCS12 파일을 생성합니다.

   참고: X.509 PEM 형식으로 사용할 수 있는 PKCS12 파일에서 호스트 인증서를 발급한 CA 인증서는 포함하지 마십시오.

3. PKCS12 파일을 /ddr/var/certificates/에 복사합니다.

4. CA 인증서를 /ddr/var/certificates/에 복사합니다.

5. 각 CA 인증서 파일에 대해 아래 명령을 실행하여 호스트 인증서를 먼저 발급한 CA 인증서를 가져옵니다.

   adminaccess certificate import ca application system-management file <filename>

6. CA 인증서를 가져오면 아래 명령을 사용하여 PKCS12에서 호스트 인증서를 가져옵니다.

   adminaccess certificate import host application system-management file <filename>

사례 -2 : PKCS12에는 암호화된 개인 키(PBE-SHA1-3DES 포함), 서명된 인증서 및 CA 체인이 포함되어 있습니다.

1. 필요한 내부 툴을 사용하여 개인 키 및 CSR을 생성하고 인증서에 서명합니다.

2. 호스트 인증서 및 호스트 개인 키만 사용하여 PKCS12 파일을 생성합니다.

   참고: 호스트 인증서를 발급한 CA 인증서는 포함하지 마십시오. X.509 PEM 형식으로 사용할 수 있습니다.  Root-CA까지 체인의 각 CA 인증서는 X.509 PEM에 있습니다.

3. PKCS12 파일을 /ddr/var/certificates/에 복사합니다.

4. 아래 명령을 실행하여 호스트 인증서를 가져옵니다.

   adminaccess certificate import host application system-management file <filename>

UI를 통해 인증서를 가져오려면 아래 KB 문서를 참조하십시오.
Data Domain - HTTP 및 HTTPS의 호스트 인증서 관리