Data Domain. Как создать запрос на подпись сертификата и использовать сертификаты с внешней подписью
摘要: Создание запроса подписи сертификата (CSR) в Data Domain.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
Некоторым пользователям требуются сертификаты с внешней подписью вместо самозаверяющих сертификатов, чтобы избежать предупреждения системы безопасности. Если в системе Data Domain или на уровне облака используется диспетчер внешних ключей шифрования RSA Data Protection Manager (DPM), для установки доверенного соединения между сервером RSA Data Protection Manager и каждой управляемой им системой Data Domain требуется сертификат хоста PKCS12 и сертификат доверия в формате открытого сертификата Privacy Enhanced Mail (PEM).
Запрос подписи
сертификатаЗапрос подписи сертификата доступен в этом расположении:
После завершения откройте браузер и проверьте, прошло ли предупреждение системы безопасности.
Новый сертификат отображается с помощью следующей команды:
Запрос подписи
сертификатаЗапрос подписи сертификата доступен в этом расположении:
/ddvar/certificates/CertificateSigningRequest.csr
- В системе должна быть установлена фраза-пароль.
system passphrase set
- Создание запроса на подпись сертификата
#adminaccess certificate cert-signing-request generate [key-strength {1024bit | 2048bit
| 3072bit | 4096bit}] [country country-code] [state state] [city city] [org-name
organization-name] [org-unit organization-unit] [common-name common-name] [subject-alt-name value] Эту информацию можно получить от пользователя, и рекомендуется использовать 2048-битный размер ключа:
- Надежность закрытого ключа: Допустимые значения перечисления: 1024, 2048, 3072 или 4096 бит. Значение по умолчанию — 2048 бит.
- Страна: Значение по умолчанию: US. Эта аббревиатура не может превышать двух символов. Использование специальных символов не допускается.
- State: Значение по умолчанию — California. Максимальная длина записи — 128 символов.
- Город: Значение по умолчанию: Santa Clara. Максимальная длина записи — 128 символов.
- Название организации: Значение по умолчанию: My Company Ltd. Максимальная длина записи — 64 символа.
- Организационная единица: Значение по умолчанию — пустая строка. Максимальная длина записи — 64 символа.
- Общее имя: Значением по умолчанию является имя хоста системы. Максимальная длина записи — 64 символа.
- Альтернативное имя субъекта: Определяет одно или несколько альтернативных имен для удостоверения, используемого сертификатом, созданным после подписания этого запроса подписи сертификата центром сертификации. Альтернативное имя можно использовать в дополнение к имени субъекта сертификата или вместо имени субъекта. К ним относятся адрес электронной почты, универсальный код ресурса (URI), доменное имя (DNS) и зарегистрированный идентификатор (RID). OBJECT IDENTIFIER, IP-адрес, отличительное имя (dirName) и другое имя
- Для запроса CSR, созданного в системе высокой доступности (HA), включите имена активных, резервных систем и систем высокой доступности в поле subject-alternative-name.
- Один из примеров:
IP:<IP address>, IP:<IP address>, DNS:example.dell.com
Пример команды CSR:
# adminaccess certificate cert-signing-request generate key-strength 2048bit country US state Cali city "Santa Clara" org-name Dreamin common-name Beach_Boys subject-alt-name "DNS:beach.boy.com, DNS:they.singing.org, IP:10.60.36.142, IP:10.60.36.144" Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr With following parameters: Key Strength : 2048 Country : US State : Cali City : Santa Clara Organization Name : Dreamin Common Name : Beach_Boys Basic Constraints : Key Usage : Extended Key Usage : Subject Alt Name : DNS:beach.boy.com, DNS:they.singing.org, IP Address:10.60.36.142, IP Address:10.60.36.144
- Скопируйте запрос CSR после создания и передайте его на подпись в центр сертификации заказчика. Файл доступен по адресу:
/ddvar/certificates/CertificateSigningRequest.csr - CA возвращает подписанный файл в форматах .cer или .pem.
- Скопируйте подписанный файл в
/ddvar/certficates - Импортируйте файл в Data Domain следующим образом:
#adminaccess certificate import host application https file FILENAME.cerИмпортированный сертификат перезапускает службы HTTPS или HTTP, поэтому перед выполнением этой команды лучше выйти из пользовательского интерфейса.
После завершения откройте браузер и проверьте, прошло ли предупреждение системы безопасности.
Новый сертификат отображается с помощью следующей команды:
#adminaccess certificate show
其他信息
Валидация
CSR ============
Запрос CSR можно проверить после его создания и вне Data Domain. Одним из таких методов является использование Windows certutil.
Сохраните запрос подписи сертификата в системе Windows и с помощью командной строки запустите certutil -dump <CSR with path>
Пример.
Это начало вывода команды, и отображаются все данные в CSR.
受影响的产品
DD OS产品
DD OS 6.2, DD OS, DD OS 6.0, DD OS 6.1, DD OS 7.0, DD OS 7.1, DD OS 7.2文章属性
文章编号: 000021466
文章类型: How To
上次修改时间: 07 10月 2025
版本: 11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。