Data Domain : Comment générer une demande de signature de certificat et utiliser des certificats signés en externe

1. Le système doit disposer d’une phrase secrète définie. 

system passphrase set

2. Générer la demande de signature de certificat

#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value]

• Force de la clé privée : Les valeurs d’énumération autorisées sont 1 024 bits, 2 048 bits, 3 072 bits ou 4 096 bits. La valeur par défaut est 2048 bits.
• Pays : La valeur par défaut est US. Cette abréviation ne peut pas dépasser deux caractères. Aucun caractère spécial n’est autorisé.
• State: La valeur par défaut est California. L’entrée ne doit pas dépasser 128 caractères.
• Ville : La valeur par défaut est Santa Clara. L’entrée ne doit pas dépasser 128 caractères.
• Nom de l’organisation : La valeur par défaut est My Company Ltd. L’entrée ne doit pas dépasser 64 caractères.
• Unité organisationnelle : La valeur par défaut est une chaîne vide. L’entrée ne doit pas dépasser 64 caractères.
• Nom commun: La valeur par défaut est le nom d’hôte du système. L’entrée ne doit pas dépasser 64 caractères.
• Nom alternatif de l’objet : Définit un ou plusieurs noms alternatifs pour l’identité utilisable par le certificat généré après la signature de cette CSR par l’autorité de certification. Le nom alternatif peut être utilisé en plus du nom d’objet du certificat ou à la place du nom d’objet. Il s’agit notamment d’une adresse e-mail, d’un URI (Uniform Resource Indicator), d’un nom de domaine (DNS), d’un ID enregistré (RID) : ID D’OBJET, une adresse IP, un nom unique (dirName) et un autre nom
  • Pour une CSR générée sur un système haute disponibilité (HA), incluez les noms des systèmes actifs, en veille et HA sous subject-alternative-name.
  • Voici un exemple : IP:<IP address>, IP:<IP address>, DNS:example.dell.com

# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144

3. Copiez la demande CSR après sa génération et remettez-la à l’autorité de certification du client pour signature. Le fichier est disponible à l’adresse suivante : /ddvar/certificates/CertificateSigningRequest.csr
4. CA vous restitue un fichier signé au format .cer ou .pem.
5. Copiez le fichier signé dans /ddvar/certficates
6. Importez le fichier dans Data Domain en tant que tel :

#adminaccess certificate import host application https file FILENAME.cer

#adminaccess certificate show

Validation
CSR ============
la CSR peut être validée une fois qu’elle a été générée et hors du Data Domain. L’une de ces méthodes consiste à utiliser Windows certutil.
Enregistrez la CSR sur un système Windows et exécutez l’invite de commande. certutil -dump <CSR with path>
Exemple :

Il s’agit du début de la sortie de la commande et toutes les données de la CSR s’affichent.