Data Domain: управление сертификатами хостов для HTTP и HTTPS

Resumo: Сертификаты хоста позволяют браузерам и приложениям проверять подлинность системы Data Domain при создании сессий безопасного управления. Протокол HTTPS включен по умолчанию. Система может использовать как самозаверяющий сертификат, так и сертификат, импортированный из доверенного источника сертификатов (ЦС). В этой статье объясняется, как проверять, создавать, запрашивать, импортировать и удалять сертификаты для HTTP/HTTPS в системах Data Domain. ...

Este artigo aplica-se a Este artigo não se aplica a Este artigo não está vinculado a nenhum produto específico. Nem todas as versões do produto estão identificadas neste artigo.

Instruções

Срок действия сертификатов может истечь, или они могут стать недействительными. Если сертификат не импортируется, система использует самозаверяющий сертификат, которому браузеры или интегрированные приложения могут не доверять.


  1. Проверьте существующие сертификаты.

В Data Domain (DD-CLI) выполните следующую команду для просмотра установленных сертификатов:

adminaccess certificate show

Если срок действия сертификатов истек или приближается к концу:

  • Если самозаверяющий, создать повторно с помощью DD-CLI
  • Если выполняется импорт, выполните приведенные ниже действия по CSR и импорту.
    1. Создание самозаверяющих сертификатов.

    Чтобы повторно создать сертификат HTTPS, выполните следующие действия.

    adminaccess certificate generate self-signed-cert
    

    Чтобы повторно создать HTTPS и доверенный сертификат CA, выполните следующие действия.

    adminaccess certificate generate self-signed-cert regenerate-ca
    
    1. Создание запроса на подпись сертификата (CSR)

    Используйте DD System Manager.

    1. Установите парольную фразу, если это еще не сделано:
    system passphrase set
    
    1. Перейдите в раздел Доступ > > администратора Доступ администратора.
    2. Выберите HTTPS > на вкладке «Настройка сертификата» > и «Добавить>».
    3. Нажмите Создать CSR для этой системы Data Domain.
    4. Заполните форму CSR и скачайте файл по адресу:
    /ddvar/certificates/CertificateSigningRequest.csr
    

    Альтернативный пример интерфейса командной строки:

    adminaccess certificate cert-signing-request generate key-strength 2048bit country "CN" state "Shanghai" city "Shanghai" org-name "Dell EMC" org-unit "Dell EMC" common-name "ddve1.example.com" subject-alt-name "DNS:ddve1.example.com, DNS:ddve1"
    1. Импортировать подписанный сертификат

    Используйте DD System Manager.

    1. Выберите Admin > Access > Administrator Access
    2. В области Сервисы выберите HTTPS и нажмите Настроить
    3. Выберите вкладку Сертификат
    4. Нажмите кнопку Добавить. Откроется диалоговое окно Upload.
    • В случае .p12 .
      • Выберите Загрузить сертификат как. .p12 Файл, введите пароль, найдите и загрузите.
      • Пример для .p12 Выбор:
    Загрузить сертификат в виде файла .p12
    • В случае .pem .
      • Выберите Загрузить открытый ключ как: .pem file и используйте сгенерированный закрытый ключ, просматривайте и загружайте.

    Альтернатива интерфейсу командной строки DD: см. статью Data Domain: как создать запрос на подпись сертификата и использовать сертификаты с внешней подписью

    1. Удаление существующего сертификата.

    Прежде чем добавлять новый сертификат, удалите текущий сертификат.

      1. Перейдите на вкладку Администрирование > Доступ > администратора Доступ > HTTPS > Настройка > сертификата.
      2. Выберите сертификат и нажмите Удалить.

     

    1. Проверка CSR

    Подтвердите CSR с помощью командной строки Windows:

    certutil -dump <CSR file path>
    1. Устранение неполадок. После импорта сертификата, подписанного ИС, в браузере отображается сообщение «Certificate Untrusted»

    Если после импорта сертификата, подписанного ИС, браузер отображает предупреждение «сертификат не является доверенным» или «соединение не защищено», возможно, в импортированном файле PEM или P12 отсутствует промежуточный сертификат (сертификаты) источника сертификатов.

    Вызвать: Если импортируемый файл содержит только конечный сертификат (сертификат сервера) без промежуточного сертификата (сертификатов), Data Domain обслуживает неполную цепочку сертификатов. Некоторые браузеры для настольных компьютеров могут автоматически извлекать отсутствующие промежуточные файлы, но мобильные устройства, системы мониторинга и операции доверительного управления DD-to-DD завершаются сбоем.

    Проверьте цепочку сертификатов:

    На рабочей станции с установленным OpenSSL проверьте файл PEM перед импортом:

    openssl crl2pkcs7 -nocrl -certfile <certificate_file.pem> | openssl pkcs7 -print_certs -noout

    Эта команда выводит список всех сертификатов в файле. Полная цепочка должна включать:

    • Leaf-сертификат (сертификат сервера) (CN субъекта, соответствующий имени хоста DD/полному доменному имени)
    • Один или несколько промежуточных сертификатов CA
    • При необходимости сертификат корневого источника сертификатов

    Если присутствует только конечный сертификат, цепочка является неполной.

    Разрешение:

    1. Получите сертификат(ы) промежуточного источника сертификатов от группы корпоративных центров сертификации.

    2. Объедините сертификаты в один файл PEM в следующем порядке:

      • Leaf-сертификат (первый)
      • Сертификат(ы) промежуточного источника сертификатов (в порядке цепочки)
      • Сертификат корневого источника сертификатов (последний, необязательный)
    3. Удалите текущий импортированный сертификат из Data Domain:

      adminaccess certificate delete imported-host application https
      
    4. Импортируйте восстановленный файл PEM, содержащий полную цепочку, с помощью процедур GUI или CLI, описанных в разделе 4 выше.

    Примечание: Закрытый и открытый ключи должны иметь длину 2048 бит. DDOS одновременно поддерживает только один сертификат хоста для HTTPS. При использовании формата .p12 убедитесь, что файл PKCS#12 был создан с включенной полной цепочкой сертификатов.

    Mais informações

    • Закрытый и открытый ключи должны иметь длину 2048 бит.
    • DDOS одновременно поддерживает только активный CSR и подписанный сертификат для HTTPS.

    Ссылка: Статья базы знаний по развертыванию: Data Domain: как использовать сертификаты с внешней подписью

    Produtos afetados

    Data Domain
    Propriedades do artigo
    Número do artigo: 000205198
    Tipo de artigo: How To
    Último modificado: 07 jul. 2026
    Versão:  9
    Encontre as respostas de outros usuários da Dell para suas perguntas.
    Serviços de suporte
    Verifique se o dispositivo está coberto pelos serviços de suporte.