VxRail: Krav til VxRail Manger SSL-sertifikat i en mTLS-aktivert klynge

Summary: Når mTLS er aktivert, må VxRail Manager SSL-sertifikatet oppfylle nye krav.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Brukeren kan følge VxRail-plugin-grensesnittfunksjonen for å erstatte VxRail Manager SSL-sertifikatet. Sertifikatet må oppfylle kravene nedenfor for å oppfylle VxRail-sikkerhetsstandarden.

  1. Sertifikatet må være x509 versjon 3.
  2. SubjectAltName må inneholde DNS Name=machine_FQDN eller IP=machine_IP (bare for Dimension-tilfelle)
  3. Subject Key Identifier er nødvendig.
  4. Signaturalgoritmen i hele sertifikatkjeden bør være SHA256 eller bedre.
  5. Det anbefales (ikke obligatorisk) å bruke en offentlig sertifiseringsinstans (CA) eller Corporate CA til å signere VxRail manager-sertifikatet. Hvis vLCM-funksjonen er aktivert, følger du 000190239 for å sjekke om VxRail manager-sertifikatet er erstattet med et vCenter-signert sertifikat.
  6. Fra og med VxRail 7.0.350-versjonen forbedres SSL/TLS-sikkerheten til VxRail. Det nye kravet om "Enhanced Key Usage" for VxRail Manager SSL-sertifikat er lagt til. Følg trinnene nedenfor for å sjekke sertifikatet "Utvidet nøkkelbruk":

På Windows: Endre sertifikatfiltypen til crt Dobbeltklikk deretter på crt fil og naviger til "Detaljer" -siden.

  1. Nedenfor er to saker begge vurdert som samsvarssak
    1. Det finnes ikke noe segment for utvidet nøkkelbruk . Eksempel:
       Skjermbilde av sertifikat uten avansert nøkkelbruk 
       
    2. Hvis det finnes et "Utvidet nøkkelbruk" -segment, må "Server Authentication" og "Client Authentication" være i " Enhanced Key Usage" -segmentet. Eksempel:
      Skjermbilde som viser forbedret nøkkelbruk aktivert 

På Linux: Kjør følgende kommando: openssl x509 -in <target_cert> -noout -purpose

  1. Kontroller at både "SSL client" og "SSL server"-verdien er "Yes".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.