VxRail: Anforderungen für das VxRail Manager-SSL-Zertifikat in einem mTLS-fähigen Cluster

Summary: Nachdem mTLS aktiviert wurde, muss das VxRail Manager-SSL-Zertifikat neue Anforderungen erfüllen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

NutzerInnen können der Benutzeroberfläche des VxRail-Plug-ins folgen, um das SSL-Zertifikat von VxRail Manager zu ersetzen. Das Zertifikat muss die folgenden Anforderungen erfüllen, um den VxRail-Sicherheitsstandard zu erfüllen.

  1. Das Zertifikat muss x509-Version 3 sein.
  2. SubjectAltName Muss Folgendes enthalten: DNS Name=machine_FQDN oder IP=machine_IP (nur für Dimension-Fall)
  3. Die Schlüsselkennung des Betreffs ist erforderlich.
  4. Der Signaturalgorithmus in der gesamten Zertifikatskette sollte SHA256 oder besser sein.
  5. Es wird empfohlen (nicht obligatorisch), eine öffentliche Zertifizierungsstelle (CA) oder eine Unternehmenszertifizierungsstelle zu verwenden, um das VxRail Manager-Zertifikat zu signieren. Wenn die vLCM-Funktion aktiviert ist, befolgen Sie 000190239 , um zu überprüfen, ob das VxRail Manager-Zertifikat durch ein von vCenter signiertes Zertifikat ersetzt wird.
  6. Ab VxRail 7.0.350 wird die SSL-/TLS-Sicherheit von VxRail verbessert. Die neue Anforderung " Erweiterte Schlüsselnutzung" für das VxRail Manager-SSL-Zertifikat wird hinzugefügt. Führen Sie die folgenden Schritte aus, um das Zertifikat "Enhanced Key Usage" zu überprüfen:

Unter Windows: Ändern Sie die Zertifikatdateierweiterung in crt Doppelklicken Sie dann auf das Symbol crt und navigieren Sie zur Seite "Details".

  1. Die folgenden zwei Fälle werden beide als Compliance-Fälle betrachtet:
    1. Es gibt kein Segment "Enhanced Key Usage" . Zum Beispiel:
       Screenshot des Zertifikats ohne erweiterte Schlüsselverwendung 
       
    2. Wenn es ein Segment "Erweiterte Schlüsselnutzung" gibt, müssen sich "Serverauthentifizierung" und "Clientauthentifizierung" im Segment "Erweiterte Schlüsselnutzung" befinden. Zum Beispiel:
      Screenshot mit aktivierter erweiterter Schlüsselverwendung 

Unter Linux: Führen Sie folgenden Befehl aus: openssl x509 -in <target_cert> -noout -purpose

  1. Stellen Sie sicher, dass sowohl der Wert für "SSL client" als auch für "SSL server" auf "Yes" festgelegt ist.
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.