Data Domain. Как создать запрос на подпись сертификата и использовать сертификаты с внешней подписью
Summary: Создание запроса подписи сертификата (CSR) в Data Domain.
Acest articol se aplică pentru
Acest articol nu se aplică pentru
Acest articol nu este legat de un produs specific.
Acest articol nu acoperă toate versiunile de produs existente.
Instructions
Некоторым пользователям требуются сертификаты с внешней подписью вместо самозаверяющих сертификатов, чтобы избежать предупреждения системы безопасности. Если в системе Data Domain или на уровне облака используется диспетчер внешних ключей шифрования RSA Data Protection Manager (DPM), для установки доверенного соединения между сервером RSA Data Protection Manager и каждой управляемой им системой Data Domain требуется сертификат хоста PKCS12 и сертификат доверия в формате открытого сертификата Privacy Enhanced Mail (PEM).
Запрос подписи
сертификатаЗапрос подписи сертификата доступен в этом расположении:
После завершения откройте браузер и проверьте, прошло ли предупреждение системы безопасности.
Новый сертификат отображается с помощью следующей команды:
Запрос подписи
сертификатаЗапрос подписи сертификата доступен в этом расположении:
/ddvar/certificates/CertificateSigningRequest.csr
- В системе должна быть установлена фраза-пароль.
system passphrase set
- Создание запроса на подпись сертификата
#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value] Эту информацию можно получить от пользователя, и рекомендуется использовать 2048-битный размер ключа:
- Надежность закрытого ключа: Допустимые значения перечисления: 1024, 2048, 3072 или 4096 бит. Значение по умолчанию — 2048 бит.
- Страна: Значение по умолчанию: US. Эта аббревиатура не может превышать двух символов. Использование специальных символов не допускается.
- State: Значение по умолчанию — California. Максимальная длина записи — 128 символов.
- Город: Значение по умолчанию: Santa Clara. Максимальная длина записи — 128 символов.
- Название организации: Значение по умолчанию: My Company Ltd. Максимальная длина записи — 64 символа.
- Организационная единица: Значение по умолчанию — пустая строка. Максимальная длина записи — 64 символа.
- Общее имя: Значением по умолчанию является имя хоста системы. Максимальная длина записи — 64 символа.
- Альтернативное имя субъекта: Определяет одно или несколько альтернативных имен для удостоверения, используемого сертификатом, созданным после подписания этого запроса подписи сертификата центром сертификации. Альтернативное имя можно использовать в дополнение к имени субъекта сертификата или вместо имени субъекта. К ним относятся адрес электронной почты, универсальный код ресурса (URI), доменное имя (DNS) и зарегистрированный идентификатор (RID). OBJECT IDENTIFIER, IP-адрес, отличительное имя (dirName) и другое имя
- Для запроса CSR, созданного в системе высокой доступности (HA), включите имена активных, резервных систем и систем высокой доступности в поле subject-alternative-name.
- Один из примеров:
IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Пример команды CSR:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144" Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : Cali City : Santa Clara Organization Name : Dreamin Common Name : Beach_Boys Basic Constraints : Key Usage : Extended Key Usage : Subject Alt Name : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
- Скопируйте запрос CSR после создания и передайте его на подпись в центр сертификации заказчика. Файл доступен по адресу:
/ddvar/certificates/CertificateSigningRequest.csr - CA возвращает подписанный файл в форматах .cer или .pem.
- Скопируйте подписанный файл в
/ddvar/certficates - Импортируйте файл в Data Domain следующим образом:
#adminaccess certificate import host application https file FILENAME.cerИмпортированный сертификат перезапускает службы HTTPS или HTTP, поэтому перед выполнением этой команды лучше выйти из пользовательского интерфейса.
После завершения откройте браузер и проверьте, прошло ли предупреждение системы безопасности.
Новый сертификат отображается с помощью следующей команды:
#adminaccess certificate show
Additional Information
Валидация
CSR ============
Запрос CSR можно проверить после его создания и вне Data Domain. Одним из таких методов является использование Windows certutil.
Сохраните запрос подписи сертификата в системе Windows и с помощью командной строки запустите certutil -dump <CSR with path>
Пример.
Это начало вывода команды, и отображаются все данные в CSR.
Produse afectate
DD OSProduse
DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2Proprietăți articol
Article Number: 000021466
Article Type: How To
Ultima modificare: 07 oct. 2025
Version: 11
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.