Data Domain: Generowanie żądania podpisania certyfikatu i używanie certyfikatów podpisanych zewnętrznie

Podsumowanie: Tworzenie żądania podpisania certyfikatu (CSR) w Data Domain i importowanie podpisanego certyfikatu

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Instrukcje

Niektórzy użytkownicy wymagają certyfikatów podpisanych zewnętrznie zamiast certyfikatów z podpisem własnym, aby uniknąć ostrzeżenia o zabezpieczeniach.

Ważne: Nie można ponownie użyć starego CSR, który był już używany dla zaimportowanego certyfikatu. Każdy CSR jest powiązany z podpisanym certyfikatem, który jest importowany. W związku z tym dla każdego importu nowo podpisanego certyfikatu należy wygenerować unikatowy CSR.

Żądanie podpisania certyfikatu

  1. System powinien mieć ustawione hasło , jeśli jeszcze tego nie zrobiono:
  #system passphrase set
  1. Wygeneruj żądanie podpisania certyfikatu:
adminaccess certificate cert-signing-request generate
                [key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
                [country <country-code>] [state <state>] [city <city>]
                [org-name <organization-name>]
                [common-name <common-name>]
                [basic-constraint {CA:TRUE | CA:FALSE}]
                [key-usage {all | cRLsign | digitalSignature | keyCertSign
                                | keyEncipherment | nonRepudiation
                                | <keyUsage-list>}]
                [extended-key-usage {all | clientAuth | serverAuth
                                | <extendedKeyUsage-list>}]
                [subject-alt-name <value>]
                                       Generates a CSR
informacje o argumentach przemawiających za CSR

Zaczerpnięte z Podręcznika referencyjnego polecenia DDOS 7.13 (aby wyświetlić ten dokument, wymagane jest zalogowanie się do pomocy technicznej firmy Dell).
    • 99% certyfikatów nie ma podstawowego ograniczenia, a jeśli tak, to będą używać CA:FALSE
    • keyUsage i extendedKeyUsage są rzadko używane, ale można je ustawić na podstawie wymagań klienta.
    • W przypadku żądania CSR wygenerowanego w systemie High Availability (HA) uwzględnij nazwy systemów aktywnych, rezerwowych i HA w obszarze subject-alternative-name.
    • Jednym z przykładów jest: "IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Przykładowe polecenie CSR:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. Jeśli interfejs użytkownika jest dostępny, możesz również pobrać CSR z internetowego interfejsu użytkownika w następujący sposób:
    1. Administracji >Dostęp >PROTOKÓŁ HTTPS >Skonfigurować

Administracja -> Dostęp -> HTTPS -> konfiguracja

    1. Certyfikat >Dodaj

Certyfikat —> dodaj

    1. Pobierz CSR:

CSR

  1. Jeśli interfejs użytkownika nie jest dostępny, skopiuj żądanie CSR po wygenerowaniu. Plik jest dostępny pod adresem: /ddvar/certificates/CertificateSigningRequest.csr
    1. Najłatwiejszym sposobem pobrania jest użycie SCP, którego można użyć w wierszu polecenia w nowszych wersjach systemu Windows lub w terminalu Linux
    2. # scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (Tthe '.' mówi, aby pobrać CSR do bieżącego katalogu roboczego)
  2. Przekaż CSR do podpisania przez urząd certyfikacji klienta. CA zwraca podpisany certyfikat. Urząd certyfikacji może zazwyczaj dostarczyć podpisany certyfikat w dowolnym formacie. DD obsługuje PEM i PKCS#12 Formaty. Należy tego zażądać od urzędu certyfikacji. Jeśli certyfikat jest w innym formacie, należy go przekonwertować za pomocą programu, takiego jak OpenSSL. Typowa konwersja na PEM jest najłatwiejszy. Więcej informacji można znaleźć w artykule firmy DigiCert Jak przekonwertować certyfikat do odpowiedniego formatu (link zewnętrzny)
  3. Możesz teraz przesłać plik PEM lub PKCS cert w interfejsie użytkownika na tej samej stronie, na której pobrałeś CSR:

Prześlij certyfikat

  1. Możesz również użyć interfejsu wiersza poleceń, aby zaimportować za pomocą:
#adminaccess certificate import host application https
  1.  
Wklej zawartość podpisanego pliku certyfikatu i press ctrl + d dwa razy, aby zaimportować
  1. Jeśli nadal masz problemy z zaimportowaniem, skopiuj podpisany plik do folderu /ddvar/certificates przy użyciu SCP, takiego jak krok 4b
  2. Zaimportuj plik do Data Domain w następujący sposób:
#adminaccess certificate import host application https file <certificate.pem>
  • Zaimportowany certyfikat uruchamia ponownie usługi HTTPS lub HTTP, interfejs użytkownika wyłącza się na około minutę.
  • Po zakończeniu otwórz przeglądarkę i sprawdź, czy spełnia ostrzeżenie dotyczące zabezpieczeń. 
  • Nowy certyfikat jest wyświetlany przy użyciu tego polecenia:
#adminaccess certificate show

 

Jeśli nadal występują problemy z zaimportowaniem certyfikatu, zapoznaj się z poniższą sekcją informacji dodatkowych.

Dodatkowe informacje

Weryfikacja
CSRŻądanie CSR może zostać zweryfikowane po jego wygenerowaniu i poza Data Domain. Jedną z takich metod jest użycie systemu Windows certutil.
Zapisz CSR w systemie Windows i za pomocą wiersza poleceń uruchom certutil -dump <CSR with path> 

Przykład:

certutil -dump CSR 


Jest to początek danych wyjściowych polecenia, podczas których wyświetlane są wszystkie dane w CSR.

To samo polecenie można uruchomić dla podpisanego certyfikatu. Powinieneś wiedzieć, czy podpisany certyfikat jest prawidłowy dla CSR, jeśli klucze publiczne dla obu są zgodne: 

Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 d9 0b 01 f3 33 b5 39
    0010  9e 52 92 86 6f 40 2e 8f  29 94 95 89 1d 9d 10 a6
    0020  9b f4 b6 f2 3f 4e aa cf  24 96 94 b9 db 62 41 24
    0030  3f 9a 64 22 7d 04 92 5d  2d 57 60 1c 52 40 20 88
    0040  08 2c 2e 43 54 c2 0c 0d  bf 0c e3 bb 1e 30 ab 66
    0050  91 7e 3e 3d a9 b2 fe 89  1d 36 c8 5b c1 e5 ea a2
    0060  74 e1 e8 8b 8d a8 3a 6b  72 c8 47 a4 e2 b8 76 ec
    0070  c0 37 f0 64 85 1f f2 c8  d6 fb 9a aa 0e 49 b4 05
    0080  c4 73 4e 47 3f 61 0b ed  9c d7 fe 69 97 b2 1d 37
    0090  f2 06 1d d8 33 de e1 63  10 de 43 d3 29 47 7d b7
    00a0  aa 2b a2 60 58 88 ae 27  7a 28 35 9c cd 87 63 02
    00b0  ab b5 b4 d2 c0 8e f7 8c  89 b2 fc a3 20 18 6b 41
    00c0  bd 46 cb 6e 78 aa a8 3b  fb cd 08 4d 18 b3 bd a6
    00d0  d9 e3 6a 34 cb ef d4 b0  64 88 a7 6c ec f3 db 1d
    00e0  8e 25 10 d8 0a 03 a1 d7  11 69 e1 6c f2 70 78 62
    00f0  66 27 d8 05 52 53 38 1a  57 2b 13 66 cf 76 4d 4e
    0100  20 90 89 ee ac aa c0 97  6d 02 03 01 00 01

Produkty, których dotyczy problem

DD OS

Produkty

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
Właściwości artykułu
Numer artykułu: 000021466
Typ artykułu: How To
Ostatnia modyfikacja: 05 cze 2026
Wersja:  12
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.