VxRail: Krav til VxRail Manager SSL-certifikat i en mTLS-aktiveret klynge

Summary: Når mTLS er aktiveret, skal VxRail Manager SSL-certifikatet opfylde nye krav.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Brugeren kan følge VxRail-plug-in'ets brugergrænsefladefunktion for at erstatte VxRail Manager SSL-certifikatet. Certifikatet skal opfylde nedenstående krav for at opfylde VxRail-sikkerhedsstandarden.

  1. Certifikatet skal være x509 version 3.
  2. SubjectAltName skal indeholde DNS Name=machine_FQDN eller IP=machine_IP (kun i tilfælde af Dimension)
  3. Emnenøgleidentifikator er påkrævet.
  4. Signaturalgoritmen i hele certifikatkæden skal være SHA256 eller bedre.
  5. Det foreslås (ikke obligatorisk) at bruge en offentlig certifikatmyndighed (CA) eller virksomhedscenter til at signere VxRail Manager-certifikatet. Hvis vLCM-funktionen er aktiveret, skal du følge 000190239 for at kontrollere, om VxRail Manager-certifikatet er erstattet med et vCenter-signeret certifikat.
  6. Fra og med VxRail 7.0.350-udgivelsen forbedres SSL/TLS-sikkerheden i VxRail. Det nye krav om "Forbedret nøglebrug" for SSL-certifikat i VxRail Manager er tilføjet. Følg nedenstående trin for at kontrollere certifikatet "Enhanced Key Usage":

På Windows: Skift certifikatfiltypen til crt og dobbeltklik derefter på ikonet crt fil, og naviger til siden "Detaljer".

  1. Nedenstående to tilfælde betragtes begge som overholdelsessager
    1. Der er ikke noget segment "Forbedret nøglebrug". F.eks.:
       Skærmbillede af certifikat uden forbedret brug af nøgler 
       
    2. Hvis der er segmentet "Forbedret nøglebrug", skal "Servergodkendelse" og "Klientgodkendelse" være i segmentet "Forbedret nøglebrug ". F.eks.:
      Skærmbillede, der viser forbedret nøglebrug aktiveret 

På Linux: Kør kommandoen: openssl x509 -in <target_cert> -noout -purpose

  1. Sørg for, at både værdien "SSL-klient" og "SSL-server" er "Ja".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.