VxRail: VxRail Managerin SSL-varmenteen vaatimukset mTLS-klusterissa

Summary: Kun mTLS on otettu käyttöön, VxRail Manager SSL -varmenteen on täytettävä uudet vaatimukset.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Käyttäjä voi korvata VxRail Managerin SSL-varmenteen VxRail-laajennuksen käyttöliittymätoiminnolla. Varmenteen on täytettävä seuraavat vaatimukset, jotta se täyttää VxRail-suojausstandardin.

  1. Varmenteen version on oltava x509, versio 3.
  2. SubjectAltName on sisällettävä DNS Name=machine_FQDN tai IP=machine_IP (vain Dimensio-tapaus)
  3. Subject Key Identifier vaaditaan.
  4. Koko varmenneketjun allekirjoitusalgoritmin tulisi olla SHA256 tai parempi.
  5. Suosittelemme (ei pakollista) käyttämään julkista varmenteiden myöntäjää (CA) tai yrityksen varmenteiden myöntäjää VxRail managerin varmenteen allekirjoittamiseen. Jos vLCM-ominaisuus on käytössä, tarkista 000190239 mukaisesti, onko VxRail Managerin varmenne korvattu vCenterin allekirjoitetulla varmenteella.
  6. VxRail 7.0.350 -julkaisusta alkaen VxRailin SSL/TLS-suojausta on parannettu. VxRail Manager SSL-varmenteen uusi Enhanced Key Usage -vaatimus on lisätty. Tarkista varmenne "Enhanced key Usage" seuraavasti:

Windows: Vaihda varmenteen tiedostotunnisteeksi crt Kaksoisnapsauta sitten crt ja siirry Details-sivulle.

  1. Alla on kaksi tapausta, jotka molemmat katsotaan vaatimustenmukaisuustapaukseksi:
    1. Parannettu avainten käyttö -segmenttiä ei ole. Esimerkki:
       Näyttökuva varmenteesta ilman parannettua avaimen käyttöä 
       
    2. Jos käytössä on Enhanced Key Usage , Server Authentication ja Client Authentication on kuuluttava Enhanced Key Usage -segmenttiin. Esimerkki:
      Näyttökuva, jossa näkyy parannettu näppäinten käyttö käytössä 

Linux: Suorita komento: openssl x509 -in <target_cert> -noout -purpose

  1. Varmista, että sekä SSL client- että SSL server -arvo on Yes.
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.