VxRail: Vereisten voor VxRail Manger SSL-certificaat in een mTLS-cluster

Summary: Nadat mTLS is ingeschakeld, moet het SSL-certificaat VxRail Manager aan nieuwe vereisten voldoen.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

De gebruiker kan de UI-functie van de VxRail plug-in volgen om het SSL-certificaat VxRail Manager te vervangen. Het certificaat moet voldoen aan de onderstaande vereisten om te voldoen aan de VxRail-beveiligingsnorm.

  1. Het certificaat moet x509 versie 3 zijn.
  2. SubjectAltName moet het volgende bevatten: DNS Name=machine_FQDN of IP=machine_IP (alleen voor Dimension-geval)
  3. Subject Key Identifier is vereist.
  4. Het handtekeningalgoritme in de hele certificaatketen moet SHA256 of hoger zijn.
  5. Het wordt aanbevolen (niet verplicht) om een openbare certificeringsinstantie (CA) of bedrijfscertificeringsinstantie te gebruiken om het VxRail Manager-certificaat te ondertekenen. Als de functie vLCM is ingeschakeld, volgt u 000190239 om te controleren of het VxRail manager-certificaat is vervangen door een vCenter-certificaat.
  6. Vanaf de release van VxRail 7.0.350 is de SSL/TLS-beveiliging van VxRail verbeterd. De nieuwe vereiste van "Enhanced Key Usage" voor het VxRail Manager SSL-certificaat wordt toegevoegd. Volg de onderstaande stappen om het certificaat "Enhanced Key Usage" te controleren:

Op Windows: Wijzig de extensie van het certificaatbestand in crt Dubbelklik vervolgens op de crt bestand en navigeer naar de pagina "Details".

  1. Hieronder worden twee cases beide beschouwd als nalevingscasus
    1. Er is geen segment "Verbeterd sleutelgebruik". Bijvoorbeeld:
       Schermafbeelding van certificaat zonder verbeterd sleutelgebruik 
       
    2. Als er een segment "Enhanced Key Usage" is, dan moeten "Server Authentication" en "Client Authentication" zich in het segment "Enhanced Key Usage" bevinden. Bijvoorbeeld:
      Schermafbeelding van verbeterd sleutelgebruik ingeschakeld 

Op Linux: Voer deze opdracht uit: openssl x509 -in <target_cert> -noout -purpose

  1. Zorg ervoor dat zowel de waarde "SSL client" als "SSL server" " Yes" is.
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.