VxRail : Conditions requises pour le certificat SSL VxRail Manager dans un cluster mTLS activé

Summary: Une fois mTLS activé, le certificat SSL de VxRail Manager doit répondre aux nouvelles exigences.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

L’utilisateur peut suivre la fonction de l’interface utilisateur du plug-in VxRail pour remplacer le certificat SSL du VxRail Manager. Le certificat doit répondre aux exigences ci-dessous pour répondre à la norme de sécurité VxRail.

  1. Le certificat doit être x509 version 3.
  2. SubjectAltName doit contenir DNS Name=machine_FQDN ou IP=machine_IP (uniquement pour le boîtier Dimension)
  3. L’ID clé de l’objet est obligatoire.
  4. L’algorithme de signature dans l’ensemble de la chaîne de certificats doit être SHA256 ou supérieur.
  5. Il est suggéré (non obligatoire) d’utiliser une autorité de certification (CA) publique ou une autorité de certification d’entreprise pour signer le certificat VxRail Manager. Si la fonction vLCM est activée, suivez 000190239 pour vérifier si le certificat VxRail Manager est remplacé par un certificat signé vCenter.
  6. À partir de la version 7.0.350 de VxRail, la sécurité SSL/TLS de VxRail est renforcée. Ajout de la nouvelle exigence « Utilisation améliorée des clés » pour le certificat SSL VxRail Manager. Suivez les étapes ci-dessous pour vérifier le certificat « Enhanced Key Usage » :

Sous Windows : Remplacez l’extension du fichier de certificat par crt Double-cliquez ensuite sur l’icône crt et accédez à la page « Détails ».

  1. Les deux incidents ci-dessous sont tous deux considérés comme des incidents de conformité.
    1. Il n’y a pas de segment « Utilisation améliorée des clés ». Par exemple :
       Capture d’écran du certificat sans utilisation améliorée des clés 
       
    2. S’il existe un segment « Enhanced Key Usage », les options « Server Authentication » et « Client Authentication » doivent figurer dans le segment « Enhanced Key Usage ». Par exemple :
      Capture d’écran montrant l’activation de l’utilisation améliorée des clés 

Sous Linux : Exécutez la commande suivante : openssl x509 -in <target_cert> -noout -purpose

  1. Assurez-vous que les valeurs « Client SSL » et « Serveur SSL » sont « Oui ».
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.