Data Domain: Come generare una richiesta di firma di certificato e utilizzare certificati firmati esternamente

1. Il sistema deve avere una passphrase impostata. 

system passphrase set

2. Generare la richiesta di firma del certificato

#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value]

• Forza della chiave privata: I valori di enumerazione consentiti sono 1024 bit, 2048 bit, 3072 bit o 4096 bit. Il valore predefinito è 2048 bit.
• Paese: Il valore predefinito è US. Questa abbreviazione non può superare i due caratteri. Non sono consentiti caratteri speciali.
• State: Il valore predefinito è California. La lunghezza massima della voce è di 128 caratteri.
• Città: Il valore predefinito è Santa Clara. La lunghezza massima della voce è di 128 caratteri.
• Nome organizzazione: Il valore predefinito è My Company Ltd. La lunghezza massima della voce è di 64 caratteri.
• Unità organizzativa: Il valore predefinito è una stringa vuota. La lunghezza massima della voce è di 64 caratteri.
• Nome comune: Il valore predefinito è il nome host del sistema. La lunghezza massima della voce è di 64 caratteri.
• Nome alternativo soggetto: Definisce uno o più nomi alternativi per l'identità utilizzabili dal certificato generato dopo che questa CSR è stata firmata dalla CA. Il nome alternativo è utilizzabile in aggiunta al nome del soggetto del certificato o al posto del nome del soggetto. Questi includono un indirizzo e-mail, un URI (Uniform Resource Indicator), un nome di dominio (DNS), un ID registrato (RID): OBJECT IDENTIFIER, un indirizzo IP, un nome distinto (dirName) e un altro nome
  • Per una CSR generata su un sistema con high availability (HA), includere i nomi dei sistemi active, standby e HA in subject-alternative-name.
  • Ecco alcuni esempi: IP:<IP address>, IP:<IP address>, DNS:example.dell.com

# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144"
Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
With following parameters:
   Key Strength       : 2048
   Country            : US
   State              : Cali
   City               : Santa Clara
   Organization Name  : Dreamin
   Common Name        : Beach_Boys
   Basic Constraints  :
   Key Usage          :
   Extended Key Usage :
   Subject Alt Name   : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144

3. Copiare la richiesta CSR dopo averla generata e consegnarla alla CA del cliente per la firma. Il file è disponibile all'indirizzo: /ddvar/certificates/CertificateSigningRequest.csr
4. CA fornisce un file firmato in formato .cer o .pem.
5. Copiare il file firmato in /ddvar/certficates
6. Importare il file nel Data Domain come indicato di seguito:

#adminaccess certificate import host application https file FILENAME.cer

#adminaccess certificate show

Convalida
CSR============
la CSR può essere convalidata dopo che è stata generata ed esterna a Data Domain. Uno di questi metodi consiste nell'utilizzare Windows certutil.
Salvare la CSR su un sistema Windows e, utilizzando il prompt dei comandi, eseguire: certutil -dump <CSR with path>
Esempio:

Questo è l'inizio dell'output del comando e vengono visualizzati tutti i dati nella CSR.