VxRail: Requisitos para el certificado SSL de VxRail Manager en un clúster habilitado para mTLS

Summary: Después de habilitar mTLS, el certificado SSL de VxRail Manager debe cumplir con los nuevos requisitos.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

El usuario puede seguir la función de interfaz de usuario del plug-in de VxRail para reemplazar el certificado SSL de VxRail Manager. El certificado debe cumplir con los siguientes requisitos para cumplir con el estándar de seguridad de VxRail.

  1. El certificado debe ser x509 versión 3.
  2. SubjectAltName debe contener DNS Name=machine_FQDN o IP=machine_IP (solo para mayúsculas y minúsculas de dimensión)
  3. El identificador clave de asunto es obligatorio.
  4. El algoritmo de firma en toda la cadena de certificados debe ser SHA256 o superior.
  5. Se recomienda (no es obligatorio) utilizar una autoridad de certificación (CA) pública o una CA corporativa para firmar el certificado de administrador de VxRail. Si la característica vLCM está habilitada, siga 000190239 para comprobar si el certificado de VxRail Manager se reemplaza por un certificado firmado por vCenter.
  6. A partir de la versión 7.0.350 de VxRail, se mejora la seguridad SSL/TLS de VxRail. Se agregó el nuevo requisito de "Uso mejorado de claves" para el certificado SSL de VxRail Manager. Siga los pasos que se indican a continuación para comprobar el "uso mejorado de claves" del certificado:

En Windows: Cambie la extensión del archivo de certificado a crt A continuación, haga doble clic en el botón crt y vaya a la página "Detalles".

  1. Los dos casos siguientes se consideran casos de cumplimiento
    1. No hay ningún segmento "Uso mejorado de claves ". Por ejemplo:
       Captura de pantalla del certificado sin uso mejorado de claves 
       
    2. Si existe el segmento "Uso mejorado de claves", entonces "Autenticación del servidor" y "Autenticación del cliente" deben estar en el segmento "Uso mejorado de claves ". Por ejemplo:
      Captura de pantalla que muestra el uso mejorado de claves habilitado 

En Linux: Ejecute el comando: openssl x509 -in <target_cert> -noout -purpose

  1. Asegúrese de que los valores "Cliente SSL" y "Servidor SSL" estén configurados como "Sí".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.