Data Domain: Een certificaatondertekeningsaanvraag genereren en extern ondertekende certificaten gebruiken

Samenvatting: Een CSR (Certificate Signing Request) maken op een Data Domain en het ondertekende certificaat importeren

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Instructies

Sommige gebruikers hebben extern ondertekende certificaten nodig in plaats van de zelfondertekende certificaten, om de beveiligingswaarschuwing te vermijden.

Belangrijk: Het is niet mogelijk om een oude CSR te hergebruiken die al gebruikt is voor een geïmporteerd certificaat. Elke CSR is gekoppeld aan het ondertekende certificaat dat wordt geïmporteerd. Er moet dus een unieke CSR worden gegenereerd voor elke import van een nieuw ondertekend certificaat.

Aanvraag voor certificaatondertekening

  1. Het systeem moet een wachtwoordzin hebben ingesteld als dat nog niet het geval is:
  #system passphrase set
  1. Genereer de certificaatondertekeningsaanvraag:
adminaccess certificate cert-signing-request generate
                [key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
                [country <country-code>] [state <state>] [city <city>]
                [org-name <organization-name>]
                [common-name <common-name>]
                [basic-constraint {CA:TRUE | CA:FALSE}]
                [key-usage {all | cRLsign | digitalSignature | keyCertSign
                                | keyEncipherment | nonRepudiation
                                | <keyUsage-list>}]
                [extended-key-usage {all | clientAuth | serverAuth
                                | <extendedKeyUsage-list>}]
                [subject-alt-name <value>]
                                       Generates a CSR
informatie over argumenten voor MVO

Overgenomen uit DDOS 7.13 naslaggids voor opdrachten (aanmelden bij Dell Support is vereist om dit document te bekijken.)
    • 99% van de certificaten stelt geen basisbeperking in en als dat wel het geval is, gebruiken ze CA:FALSE
    • keyUsage als extendedKeyUsage worden zelden gebruikt, maar kunnen worden ingesteld op basis van de eisen van de klant.
    • Voor een CSR die wordt gegenereerd op een HA-systeem (High Availability ), neemt u de namen van het actieve, stand-by- en HA-systeem op onder subject-alternative-name.
    • Een van de voorbeelden is: "IP:<IP address>, IP:<IP address>, DNS:example.dell.com"
Een voorbeeld van een CSR-opdracht:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. Als de gebruikersinterface toegankelijk is, kunt u de CSR ook als volgt downloaden van de webinterface:
    1. Administration >Toegang >HTTPS >Configureren

Beheer -> Toegang -> HTTPS -> configureren

    1. Certificaat >Toevoegen

Certificaat -> add

    1. Download de CSR:

MVO

  1. Als de gebruikersinterface niet toegankelijk is, kopieert u de CSR-aanvraag nadat deze is gegenereerd. Het bestand is beschikbaar op: /ddvar/certificates/CertificateSigningRequest.csr
    1. De eenvoudigste manier om te downloaden is met SCP, dat kan worden gebruikt in de opdrachtprompt in nieuwere versies van Windows of in de Linux-terminal
    2. # scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (De '.' zegt CSR te downloaden naar de huidige werkdirectory)
  2. Geef de CSR ter ondertekening aan de certificeringsinstantie van de klant. De CA geeft u het ondertekende certificaat terug. De CA kan het ondertekende certificaat meestal leveren in de door u gewenste indeling. Het DD ondersteunt PEM als PKCS#12 Formaten. Dat moet bij de CA worden aangevraagd. Als het certificaat een ander formaat heeft, moet het worden geconverteerd met een programma zoals OpenSSL. Doorgaans converteren naar PEM is het gemakkelijkst. Meer informatie is te vinden in het DigiCert-artikel Een certificaat converteren naar het juiste formaat (externe link)
  3. U kunt nu de PEM of PKCS cert in de gebruikersinterface op dezelfde pagina waar u de CSR hebt gedownload:

Certificaat uploaden

  1. U kunt de CLI ook gebruiken om te importeren met:
#adminaccess certificate import host application https
  1.  
Plak de inhoud van het ondertekende certificaatbestand en press ctrl + d Twee keer importeren
  1. Als u nog steeds problemen ondervindt bij het importeren, kopieert u het ondertekende bestand naar /ddvar/certificates met behulp van SCP zoals stap 4b
  2. Importeer het bestand als volgt in Data Domain:
#adminaccess certificate import host application https file <certificate.pem>
  • Het geïmporteerde certificaat start de HTTPS- of HTTP-services opnieuw op. De gebruikersinterface is ongeveer een minuut uitgeschakeld.
  • Als u klaar bent, opent u uw browser en controleert u of de beveiligingswaarschuwing doorkomt. 
  • Er wordt een nieuw certificaat weergegeven met deze opdracht:
#adminaccess certificate show

 

Als er nog steeds problemen zijn met het importeren van het certificaat, raadpleegt u het gedeelte Aanvullende informatie hieronder.

Extra informatie

CSR-validatie
De CSR kan worden gevalideerd nadat deze is gegenereerd en buiten het Data Domain. Een van die methoden is het gebruik van Windows certutil.
Sla de CSR op een Windows-systeem op en voer de opdrachtprompt uit certutil -dump <CSR with path> 

Voorbeeld:

certutil -dump CSR 


Dit is het begin van de opdracht output en alle gegevens in de CSR worden weergegeven.

U kunt dezelfde opdracht uitvoeren op het ondertekende certificaat. U moet weten of het ondertekende certificaat geldig is voor de CSR als de openbare sleutels voor beide overeenkomen: 

Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 d9 0b 01 f3 33 b5 39
    0010  9e 52 92 86 6f 40 2e 8f  29 94 95 89 1d 9d 10 a6
    0020  9b f4 b6 f2 3f 4e aa cf  24 96 94 b9 db 62 41 24
    0030  3f 9a 64 22 7d 04 92 5d  2d 57 60 1c 52 40 20 88
    0040  08 2c 2e 43 54 c2 0c 0d  bf 0c e3 bb 1e 30 ab 66
    0050  91 7e 3e 3d a9 b2 fe 89  1d 36 c8 5b c1 e5 ea a2
    0060  74 e1 e8 8b 8d a8 3a 6b  72 c8 47 a4 e2 b8 76 ec
    0070  c0 37 f0 64 85 1f f2 c8  d6 fb 9a aa 0e 49 b4 05
    0080  c4 73 4e 47 3f 61 0b ed  9c d7 fe 69 97 b2 1d 37
    0090  f2 06 1d d8 33 de e1 63  10 de 43 d3 29 47 7d b7
    00a0  aa 2b a2 60 58 88 ae 27  7a 28 35 9c cd 87 63 02
    00b0  ab b5 b4 d2 c0 8e f7 8c  89 b2 fc a3 20 18 6b 41
    00c0  bd 46 cb 6e 78 aa a8 3b  fb cd 08 4d 18 b3 bd a6
    00d0  d9 e3 6a 34 cb ef d4 b0  64 88 a7 6c ec f3 db 1d
    00e0  8e 25 10 d8 0a 03 a1 d7  11 69 e1 6c f2 70 78 62
    00f0  66 27 d8 05 52 53 38 1a  57 2b 13 66 cf 76 4d 4e
    0100  20 90 89 ee ac aa c0 97  6d 02 03 01 00 01

Getroffen producten

DD OS

Producten

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
Artikeleigenschappen
Artikelnummer: 000021466
Artikeltype: How To
Laatst aangepast: 05 jun. 2026
Versie:  12
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.