Data Domain: gerenciando certificados de host para HTTP e HTTPS

Samenvatting: Os certificados de host permitem que navegadores e aplicativos verifiquem a identidade de um sistema Data Domain ao estabelecer sessões de gerenciamento seguras. O HTTPS é ativado por padrão. O sistema pode usar um certificado autoassinado ou um certificado importado de uma autoridade de certificação (CA) confiável. Este artigo explica como verificar, gerar, solicitar, importar e excluir certificados para HTTP/HTTPS em sistemas Data Domain. ...

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.

Instructies

Os certificados podem expirar ou se tornar inválidos. Se nenhum certificado for importado, o sistema usará um certificado autoassinado no qual os navegadores ou aplicativos integrados podem não confiar.


  1. Verifique os certificados existentes.

No Data Domain (DD-CLI), execute o seguinte comando para visualizar os certificados instalados:

adminaccess certificate show

Se os certificados estiverem expirados ou próximos da expiração:

  • Se for autoassinado, gere novamente usando o DD-CLI
  • Se for importado, siga as etapas de importação e CSR abaixo.
    1. Gerar certificados autoassinados.

    Para gerar novamente o certificado HTTPS:

    adminaccess certificate generate self-signed-cert
    

    Para gerar novamente HTTPS e certificados confiáveis da CA:

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Gerar uma solicitação de assinatura de certificado (CSR)

    Use DD System Manager:

    1. Defina uma frase secreta, se ainda não tiver feito:
    system passphrase set
    
    1. Acesse Administration > Access > Administrator Access.
    2. Selecione HTTPS > Configurar > guia > Certificado Adicionar.
    3. Clique em Generate the CSR for this Data Domain system.
    4. Preencha o formulário de CSR e faça download do arquivo em:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Exemplo alternativo de CLI:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Importar certificado assinado

    Use DD System Manager:

    1. Selecione Administration > Access > Administrator Access
    2. Na área Services, selecione HTTPS e clique em Configure
    3. Selecione a guia Certificado
    4. Clique em Add. Uma caixa de diálogo Upload será exibida:
    • Para .p12 file:
      • Selecione Fazer upload do certificado como .p12 Arquivo, digite a senha, procure e carregue.
      • Exemplo de .p12 Seleção:
    Fazer upload do certificado como arquivo p12
    • Para .pem file:
      • Selecione Upload public key as .pem Arquive e use a chave privada gerada, procure e carregue.

    Alternativa à CLI do DD: consulte o artigo Data Domain: Como gerar uma solicitação de assinatura de certificado e usar certificados assinados externamente

    1. Exclua o certificado existente.

    Antes de adicionar um novo certificado, exclua o certificado atual:

      1. Acesse a guia Administration > Access > Administrator Access > HTTPS > Configure > Certificate.
      2. Selecione o certificado e clique em Delete.

     

    1. Validação do CSR

    Valide a CSR usando o prompt de comando do Windows:

    certutil -dump <CSR file path>
    1. Solução de problemas: O navegador mostra "Certificado não confiável" após a importação de certificado assinado pela CA

    Se o navegador exibir um aviso "certificado não confiável" ou "a conexão não é segura" após importar um certificado assinado pela CA, o arquivo PEM ou P12 importado pode estar ausente certificado(s) CA intermediário(s) na cadeia de certificados.

    Causa: Quando o arquivo importado contém apenas o certificado leaf (servidor) sem o(s) certificado(s) intermediário(s) da CA, o Data Domain atende a uma cadeia de certificados incompleta. Alguns navegadores de desktop podem recuperar automaticamente intermediários ausentes, mas dispositivos móveis, sistemas de monitoramento e operações de confiança de DD para DD falharão.

    Verifique a cadeia de certificados:

    Em uma workstation com OpenSSL instalado, inspecione o arquivo PEM antes da importação:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Esse comando lista todos os certificados do arquivo. Uma cadeia completa deve incluir:

    • O certificado leaf (servidor) (CN do assunto correspondente ao nome do host/FQDN do DD)
    • Um ou mais certificados intermediários da CA
    • Como opção, o certificado raiz da CA

    Se apenas o certificado leaf estiver presente, a cadeia estará incompleta.

    Resolução:

    1. Obtenha o(s) certificado(s) de CA intermediário(s) da equipe da autoridade de certificação corporativa.

    2. Concatene os certificados em um único arquivo PEM na seguinte ordem:

      • Certificado Leaf (primeiro)
      • Certificado(s) CA intermediário(s) (em ordem de cadeia)
      • Certificado raiz da CA (último, opcional)
    3. Exclua o certificado importado atual do Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Importe o arquivo PEM reconstruído que contém a cadeia completa usando os procedimentos da GUI ou da CLI da Seção 4 acima.

    Nota: As chaves privada e pública devem ter 2048 bits. O DDOS é compatível com apenas um certificado de host para HTTPS por vez. Se estiver usando o formato .p12, verifique se o arquivo PKCS#12 foi gerado com toda a cadeia de certificados incluída.

    Extra informatie

    • As chaves pública e privada devem ter 2048 bits.
    • O DDOS só é compatível com uma CSR ativa e um certificado assinado para HTTPS por vez.

    Referência: artigo da KB de implementação: Data Domain: como usar certificados assinados externamente

    Getroffen producten

    Data Domain
    Artikeleigenschappen
    Artikelnummer: 000205198
    Artikeltype: How To
    Laatst aangepast: 07 jul. 2026
    Versie:  9
    Vind antwoorden op uw vragen via andere Dell gebruikers
    Support Services
    Controleer of uw apparaat wordt gedekt door Support Services.