Dell Private Cloud: Requisitos para el certificado SSL personalizado de DPCM
Resumen: Reemplace los requisitos de certificados personalizados de Dell Private Cloud Manager (DPCM).
Instrucciones
El usuario puede seguir la función de la interfaz de usuario del plug-in de DPC para reemplazar el certificado SSL del administrador de DPC. Sin embargo, el certificado debe cumplir con algunos requisitos para cumplir con el estándar de seguridad de DAP.
-
El certificado debe ser x509 versión 3.
-
SubjectAltName debe contener DNS Name=machine_FQDN o IP=machine_IP
-
El identificador clave de asunto es obligatorio.
-
El algoritmo de firma en toda la cadena de certificados debe ser SHA256 o superior.
-
Si el certificado tiene el segmento "Uso mejorado de claves", entonces "Autenticación del servidor" y "Autenticación del cliente" deben estar en el segmento "Uso mejorado de claves". Siga los pasos que se indican a continuación para comprobar el certificado "Uso mejorado de claves".
- En Windows: Cambie el nombre de extensión del archivo de certificado a "crt" y, a continuación, haga doble clic en el archivo crt y vaya a la página "Details".
Los dos casos siguientes se consideran casos de cumplimiento:-
No hay ningún segmento "Uso mejorado de claves". Por ejemplo:
-
Está el segmento "Uso mejorado de claves", "Autenticación del servidor" y "Autenticación del cliente" en el segmento "Uso mejorado de claves". Por ejemplo:
-
- En Linux: Ejecute el comando "openssl x509 -in <target_cert> -noout -purpose" para realizar una comprobación.
Asegúrese de que los valores "SSL client" y "SSL server" sean "Yes".$ openssl x509 -in <target_cert> -noout -purpose Certificate purposes: SSL client : Yes SSL client CA : No SSL server : Yes SSL server CA : No Netscape SSL server : Yes Netscape SSL server CA : No S/MIME signing : No S/MIME signing CA : No S/MIME encryption : No S/MIME encryption CA : No CRL signing : No CRL signing CA : No Any Purpose : Yes Any Purpose CA : Yes OCSP helper : Yes OCSP helper CA : No Time Stamp signing : No Time Stamp signing CA : No
- En Windows: Cambie el nombre de extensión del archivo de certificado a "crt" y, a continuación, haga doble clic en el archivo crt y vaya a la página "Details".