Data Domain: Import certifikátu SSL selže s chybou "Invalid x509 v3 Extension" pro vrstvu Cloud Tier nebo uživatelské rozhraní

Shrnutí: Při importu certifikátu SSL pro Data Domain Cloud Tier (CT) nebo uživatelského rozhraní DD může dojít k chybě označující neplatnou příponu x509 v3. Tento článek znalostní databáze vysvětluje příčinu a poskytuje kroky řešení pro oba scénáře. ...

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Příznaky

Během konfigurace protokolu SSL pro:

  • Integrace vrstvy Cloud Tier (například se systémem ECS používajícím protokol HTTPS) nebo
  • Přístup k uživatelskému rozhraní DD pomocí externě podepsaného certifikátu,

Může dojít k následující chybě:

Invalid CA certificate x509 v3 extension

Další položky protokolu se mohou zobrazit v části /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Příčina

K této chybě může dojít z jednoho nebo více z následujících důvodů:

  1. Nesprávný typ certifikátu

    • Pro cloudovou vrstvu: Certifikát musí být certifikátem certifikační autority, nikoli certifikátem koncového bodu.
    • Pro uživatelské rozhraní DD: Certifikát musí být certifikát hostitele/serveru bez nevhodných přípon.

  2. Nesprávné generování klíče

    • Někdy byl soukromý klíč použitý k vygenerování certifikátu (například v systému ECS pro nástroj F5 Load Balancer) nesprávně vytvořen.

  3. Nesoulad CSR

    • Některé certifikační autority (CA) mohou ignorovat požadovaná rozšíření v CSR a vrátit certifikát s nekompatibilními rozšířeními x509 v3.

Řešení

Pro integraci vrstvy Cloud Tier (CT) se systémem ECS pomocí nástroje F5 Load Balancer:

Odkazy: Průvodce správou ECS

  1. Vygenerovat soukromý klíč v systému ECS

    • Přihlaste se k uzlu ECS nebo k připojenému systému.
    • Spusťte příkaz:
      • openssl genrsa -des3 -out server.key 2048
    • Zadejte a potvrďte přístupové heslo.
    • Před odesláním klíče do systému ECS heslo odeberte.
    • Nastavení oprávnění:
      • chmod 0400 server.key
  2. Vygenerování certifikátu v systému F5 pomocí klíče ECS
    • Postupujte podle kroků v příslušném průvodci integrací Dell EMC ECS s F5 .

  3. Import certifikátu do systému Data Domain

    Poznámka: Ujistěte se, že importovaný certifikát je certifikát certifikační autority , který podepsal certifikát koncového bodu, nikoli samotný certifikát koncového bodu.

    Pro uživatelské rozhraní DD (přístup HTTPS):

    1. Vygenerování CSR ze systému Data Domain

      • K vygenerování CSR použijte vestavěné nástroje DD.
      • Odešlete CSR své certifikační autoritě k podepsání.

    2. Import podepsaného certifikátu do systému DD

      • Ujistěte se, že vrácený certifikát má příslušné přípony (tj. server nebo žádné).

    3. Odstraňování problémů

      • Pokud se import nezdaří, zkontrolujte certifikát pomocí:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Zkontrolujte kompatibilitu rozšíření x509 v3.

    Tip: Soukromý klíč při použití metody CSR nikdy neopustí systém DD, což zajišťuje bezpečné zpracování. 

    Další informace

    Příklady ověření certifikátu

    Běžným důvodem chyby "Neplatná přípona certifikátu certifikační autority x509 v3" je import certifikátu, který není kořenovou certifikační autoritou nebo nemá správné přípony x509.

    Příklad: Nesprávný certifikát koncového bodu:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Tento certifikát je určen pro webový server, nikoli pro certifikační autoritu. Nelze jej použít jako důvěryhodný certifikát v systému DD pro vrstvu Cloud Tier.

    Správný certifikát zprostředkující certifikační autority:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Jedná se o certifikát certifikační autority, ale není podepsaný držitelem. Je podepsán kořenovou certifikační autoritou.

    Správný certifikát kořenové certifikační autority:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Tento certifikát kořenové certifikační autority podepsaný držitelem je správný pro import do systému DD.
        • V případě potřeby lze také importovat certifikáty zprostředkující certifikační autority, ale k ověření důvěryhodnosti je obvykle vyžadována kořenová certifikační autorita.

    Příklad: Nesprávné přípony certifikátů uživatelského rozhraní:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Tento certifikát je označen pro ověřování klientů a ochranu e-mailu – není vhodný pro přístup HTTPS v uživatelském rozhraní DD.

      Doporučené generování CSR pro uživatelské rozhraní DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Ujistěte se, že certifikační autorita při podepisování certifikátu respektuje požadovaná rozšíření.

    Dotčené produkty

    Data Domain

    Produkty

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Vlastnosti článku
    Číslo článku: 000068703
    Typ článku: Solution
    Poslední úprava: 07 lis 2025
    Verze:  5
    Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
    Služby podpory
    Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.