VxRail: Requisiti per il certificato SSL VxRail Manager in un cluster abilitato per mTLS

Summary: Dopo aver abilitato mTLS, il certificato SSL di VxRail Manager deve soddisfare i nuovi requisiti.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

L'utente può seguire la funzione dell'interfaccia utente del plug-in VxRail per sostituire il certificato SSL di VxRail Manager. Il certificato deve soddisfare i seguenti requisiti per soddisfare gli standard di sicurezza di VxRail.

  1. Il certificato deve essere x509 versione 3.
  2. SubjectAltName deve contenere DNS Name=machine_FQDN oppure IP=machine_IP (solo per caso Dimension)
  3. L'ID della chiave soggetto è obbligatorio.
  4. L'algoritmo di firma nell'intera catena di certificati deve essere SHA256 o superiore.
  5. È consigliabile (non obbligatorio) utilizzare un'autorità di certificazione (CA) pubblica o una CA aziendale per firmare il certificato di VxRail Manager. Se la funzione vLCM è abilitata, seguire 000190239 per verificare se il certificato di VxRail Manager viene sostituito con un certificato firmato da vCenter.
  6. A partire dalla versione 7.0.350 di VxRail, la sicurezza SSL/TLS di VxRail è stata migliorata. È stato aggiunto il nuovo requisito di "Enhanced Key Usage" per il certificato SSL di VxRail Manager. Attenersi alla seguente procedura per verificare il certificato "Enhanced Key Usage":

In Windows: Modificare l'estensione del file di certificato in crt quindi fare doppio clic sull'icona crt e vai alla pagina "Dettagli".

  1. I due casi riportati di seguito sono entrambi considerati casi di conformità
    1. Non esiste un segmento "Utilizzo chiavi avanzato". Ad esempio:
       Screenshot del certificato senza utilizzo avanzato della chiave 
       
    2. Se è presente il segmento "Utilizzo chiavi avanzato", "Autenticazione server" e "Autenticazione client" devono trovarsi nel segmento "Utilizzo chiavi avanzato". Ad esempio:
      Schermata che mostra l'uso avanzato delle chiavi abilitato 

In Linux: Eseguire il comando: openssl x509 -in <target_cert> -noout -purpose

  1. Assicurarsi che il valore "SSL client" e "SSL server" sia impostato su "Yes".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.