Data Domain：如何在連接埠 3009 匯入外部簽署憑證

系統可以將匯入的主機和 CA 憑證用於在連接埠 3009 和 3013 上執行的下列系統管理服務：

• DD 系統與 DDMC 之間的管理通訊
• 複寫
• HA 對的使用中和備用節點之間的通訊
• REST API 處理

下列先決條件適用：

主機憑證先決條件：

• 必須在 DDR/DDVE/DD-HA 上設定系統密碼片語。
• 憑證必須有效（未過期或將來有有效期）
• 主機憑證應：
  • 在「延伸金鑰用法」下包括「TLS Web 伺服器身份驗證、TLS Web 用戶端身份驗證」。
  • 在 x509v3 基本約束下不包含「CA：TRUE」。
  • 在主旨行中，將 DDR/DDVE 的主機名稱包含在主旨-替代名稱、通用名稱或兩者底下。
  • 包括 （如果有 HA）
    • 使用者替代名稱、公用名稱下的 HA 系統名稱，或兩者皆在消費者行中。
    • 主體替代名稱下的個別節點主機名稱。
• 建議主機憑證在「X509v3 延伸」下包含授權單位金鑰識別碼 （AKID）。
• 僅能匯入一個主機憑證。
• 相同的主機憑證可用於 PowerProtect DD System Manager （UI 或 DDSM）。

CA 憑證先決條件：

• CA 證書必須有效（未過期或將來有有效期）。
• 它應該是一個 CA 證書，也就是說，它應包含必要的屬性，以指示它是可以頒發用戶端和伺服器證書的頒發機構。
  • 例如 x509v3 基本約束下的「CA：TRUE」或。
  • 「keyCertSign」底下的「keyCertSign」或
  • 自我簽署 （這是如果有 Root-CA 的情況）。
• 如果透過貼上 PEM 內容匯入 CA 憑證，也就是 adminaccess certificate import ca application system-management，只能粘貼一個 CA 證書。如果提供多個，DD 會使作業失敗。
• 如果匯入 CA 憑證時使用的檔案是 adminaccess certificate import ca application system-management file <filename>，該檔不應包含多個 CA 證書。如果提供多個，DD 會使作業失敗。
• CA 憑證應具有頒發證書吊銷清單 （CRL） 的目的。
• 建議根 CA 憑證在 x509v3 延伸模組下包含消費者金鑰識別碼。建議在 x509 v3 擴展下包含主題金鑰識別碼 （SKID） 和頒發機構金鑰識別碼 （AKID） 的中間 CA 證書。

CLI 匯入程序：

匯入 PEM 檔案以進行系統管理的步驟：

1. 在 DD 系統或 Dell APEX Protection Storage 例項上產生 CSR，並視需要設定值。預設的 CSR 不足。

   注意：在 CSR 中自訂資訊時，金鑰長度必須至少為 2048 位元，在延伸金鑰用法中包括「所有」（「clientAuth」和「serverAuth」），並在主旨行的主體替代名稱或公用名稱下包含 DD 主機名稱。

   範例：

   # adminaccess certificate cert-signing-request generate key-strength 2048bit country US state California city Irvine org-name Corp common-name abc subject-alt-name "DNS:abc.com,they.singing.org,IP:10.x.x.x, IP:10.x.x.x" extended-key-usage all
   Certificate signing request (CSR) successfully generated at /ddvar/certificates/CertificateSigningRequest.csr
   With following parameters:
      Key Strength       : 2048
      Country            : US
      State              : California
      City               : Irvine
      Organization Name  : Corp
      Common Name        : abc
      Basic Constraints  :
      Key Usage          :
      Extended Key Usage : TLS Web Client Authentication, TLS Web Server Authentication
      Subject Alt Name   : DNS:abccom,they.singing.org,IP Address:10.x.x.x, IP:10.x.x.x

2. 使用 CA 簽署 CSR，並驗證在簽名期間是否複製了主體替代名稱。

3. 從認證機構取得 X.509 PEM 格式的已簽署憑證。

4. 取得 X.509 PEM 格式的 CA 憑證。

5. 貼上憑證的內容，或將憑證檔案複製到 /ddr/var/certificates/。

6. 將 PEM 檔案複製到 /ddr/var/certificates/ 時：

   1. 針對每個 CA 憑證檔案執行以下命令。

      adminaccess certificate import ca application system-management file <filename>

   2. 執行以下命令以匯入主機憑證。

      adminaccess certificate import host application system-management file <filename>

匯入 PKCS12 檔案以進行系統管理的步驟：

案例 1：PKCS12 僅包含加密的私密金鑰 （使用 PBE-SHA1-3DES） 和簽署憑證。不包括 CA 鏈。

1. 使用所需的內部工具產生私密金鑰和 CSR，並簽署憑證。

2. 只產生只包含主機憑證和主機私密金鑰的 PKCS12 檔案。

   注意：請勿在 PKCS12 檔案中包含任何發出主機憑證的 CA 憑證，這些憑證會以 X.509 PEM 格式提供。

3. 將 PKCS12 檔案複製到 /ddr/var/certificates/。

4. 將 CA 憑證複製到 /ddr/var/certificates/。

5. 通過為每個 CA 證書檔運行以下命令，首先導入頒發主機證書的 CA 證書。

   adminaccess certificate import ca application system-management file <filename>

6. 匯入 CA 憑證後，請使用以下命令，在 PKCS12 中匯入主機憑證。

   adminaccess certificate import host application system-management file <filename>

案例2：PKCS12 包含加密的私密金鑰 （使用 PBE-SHA1-3DES）、簽署的憑證和 CA 鏈。

1. 使用所需的內部工具產生私密金鑰和 CSR，並簽署憑證。

2. 只產生只包含主機憑證和主機私密金鑰的 PKCS12 檔案。

   注意：不要包含任何頒發主機證書的 CA 證書，這些證書以 X.509 PEM 格式提供。  鏈結中的每個 CA 證書都位於 X.509 PEM 中。

3. 將 PKCS12 檔案複製到 /ddr/var/certificates/。

4. 執行以下命令以匯入主機憑證。

   adminaccess certificate import host application system-management file <filename>

請參閱以下 KB 文章，以透過 UI 匯入憑證：
Data Domain - 管理 HTTP 和 HTTPS 的主機憑證