Data Domain: Gerar uma solicitação de assinatura de certificado e usar certificados assinados externamente

Resumo: Criando uma solicitação de assinatura de certificado (CSR) em um Data Domain e importando o certificado assinado

Este artigo aplica-se a Este artigo não se aplica a Este artigo não está vinculado a nenhum produto específico. Nem todas as versões do produto estão identificadas neste artigo.
Confira outros recursos

Instruções

Alguns usuários exigem certificados assinados externamente em vez dos certificados autoassinados, para evitar a advertência de segurança.

Importante: Não é possível reutilizar uma CSR antiga que já foi usada para um certificado importado. Cada CSR está vinculada ao certificado assinado importado. Portanto, uma CSR exclusiva deve ser gerada para cada importação de um certificado recém-assinado.

Solicitação de assinatura de certificado

  1. O sistema deverá ter uma frase secreta definida se ainda não tiver:
  #system passphrase set
  1. Gere a solicitação de assinatura do certificado:
adminaccess certificate cert-signing-request generate
                [key-strength {1024bit | 2048bit | 3072bit | 4096bit}]
                [country <country-code>] [state <state>] [city <city>]
                [org-name <organization-name>]
                [common-name <common-name>]
                [basic-constraint {CA:TRUE | CA:FALSE}]
                [key-usage {all | cRLsign | digitalSignature | keyCertSign
                                | keyEncipherment | nonRepudiation
                                | <keyUsage-list>}]
                [extended-key-usage {all | clientAuth | serverAuth
                                | <extendedKeyUsage-list>}]
                [subject-alt-name <value>]
                                       Generates a CSR
informações sobre os argumentos a favor da RSE

Extraído do Guia de referência de comandos do DDOS 7.13 (É necessário fazer login no Suporte Dell para visualizar este documento.)
    • 99% dos certificados não definem uma restrição básica e, se o fizerem, usariam CA:FALSE
    • keyUsage e extendedKeyUsage raramente são usados, mas podem ser definidos com base nos requisitos do cliente.
    • Para uma CSR gerada em um sistema de alta disponibilidade (HA), inclua os nomes dos sistemas ativo, em espera e de HA em subject-alternative-name.
    • Um dos exemplos é: "IP:<IP address>, IP:<IP address>, DNS:example.dell.com"
Um exemplo de comando CSR:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
  1. Se a interface do usuário estiver acessível, você também poderá fazer download da CSR da interface do usuário da Web, da seguinte forma:
    1. Administração >Acesso >HTTPS >Configurar

Administração -> Acesso -> HTTPS -> configurar

    1. Certificado >Adicionar

Certificado —> adicionar

    1. Faça download do CSR:

CSR

  1. Se a interface do usuário não estiver acessível, copie a solicitação CSR depois de gerá-la. O arquivo está disponível em: /ddvar/certificates/CertificateSigningRequest.csr
    1. A maneira mais fácil de fazer download é com o SCP, que pode ser usado no prompt de comando em versões mais recentes do Windows ou no terminal do Linux
    2. # scp <dd user>@<dd hostname/ip>:/ddvar/certificates/CertificateSigningRequest.csr (O '.' diz para baixar CSR para o diretório de trabalho atual)
  2. Entregue a CSR à autoridade de certificação do cliente para assinatura. A CA devolve o certificado assinado. Normalmente, a CA pode fornecer o certificado assinado no formato que você desejar. O DD é compatível com PEM e PKCS#12 Formatos. Isso deve ser solicitado à CA. Se o certificado estiver em um formato diferente, ele deverá ser convertido com um programa como o OpenSSL. Normalmente convertendo em PEM é o mais fácil. Mais informações são encontradas no artigo da DigiCert Como converter um certificado no formato apropriado (Link externo)
  3. Agora você pode carregar o PEM ou PKCS cert na interface do usuário na mesma página em que você baixou o CSR:

Carregar certificado

  1. Você também pode usar a CLI para importar com:
#adminaccess certificate import host application https
  1.  
Cole o conteúdo do arquivo de certificado assinado e press ctrl + d Importar duas vezes
  1. Se você ainda tiver problemas para importá-lo, copie o arquivo assinado para /ddvar/certificates usando SCP, como a etapa 4b
  2. Importe o arquivo para o Data Domain como tal:
#adminaccess certificate import host application https file <certificate.pem>
  • O certificado importado reinicia os serviços HTTPS ou HTTP, a interface do usuário fica inativa por cerca de um minuto.
  • Depois de concluído, abra seu navegador e verifique se ele passa o aviso de segurança. 
  • Um novo certificado é mostrado usando este comando:
#adminaccess certificate show

 

Se ainda houver problemas para importar o certificado, verifique a seção de informações adicionais abaixo.

Mais informações

Validação
de CSRA CSR pode ser validada depois de gerada e fora do Data Domain. Um desses métodos é usar o Windows certutil.
Salve a CSR em um sistema Windows e, usando o prompt de comando, execute certutil -dump <CSR with path> 

Exemplo:

certutil -dump CSR 


Este é o início da saída do comando, e todos os dados na CSR são exibidos.

Você pode executar o mesmo comando no certificado assinado. Você deve saber se o certificado assinado é válido para a CSR se as chaves públicas de ambas corresponderem: 

Public Key: UnusedBits = 0
    0000  30 82 01 0a 02 82 01 01  00 d9 0b 01 f3 33 b5 39
    0010  9e 52 92 86 6f 40 2e 8f  29 94 95 89 1d 9d 10 a6
    0020  9b f4 b6 f2 3f 4e aa cf  24 96 94 b9 db 62 41 24
    0030  3f 9a 64 22 7d 04 92 5d  2d 57 60 1c 52 40 20 88
    0040  08 2c 2e 43 54 c2 0c 0d  bf 0c e3 bb 1e 30 ab 66
    0050  91 7e 3e 3d a9 b2 fe 89  1d 36 c8 5b c1 e5 ea a2
    0060  74 e1 e8 8b 8d a8 3a 6b  72 c8 47 a4 e2 b8 76 ec
    0070  c0 37 f0 64 85 1f f2 c8  d6 fb 9a aa 0e 49 b4 05
    0080  c4 73 4e 47 3f 61 0b ed  9c d7 fe 69 97 b2 1d 37
    0090  f2 06 1d d8 33 de e1 63  10 de 43 d3 29 47 7d b7
    00a0  aa 2b a2 60 58 88 ae 27  7a 28 35 9c cd 87 63 02
    00b0  ab b5 b4 d2 c0 8e f7 8c  89 b2 fc a3 20 18 6b 41
    00c0  bd 46 cb 6e 78 aa a8 3b  fb cd 08 4d 18 b3 bd a6
    00d0  d9 e3 6a 34 cb ef d4 b0  64 88 a7 6c ec f3 db 1d
    00e0  8e 25 10 d8 0a 03 a1 d7  11 69 e1 6c f2 70 78 62
    00f0  66 27 d8 05 52 53 38 1a  57 2b 13 66 cf 76 4d 4e
    0100  20 90 89 ee ac aa c0 97  6d 02 03 01 00 01

Produtos afetados

DD OS

Produtos

DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2
Propriedades do artigo
Número do artigo: 000021466
Tipo de artigo: How To
Último modificado: 05 jun. 2026
Versão:  12
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.