VxRail: Wymagania dotyczące certyfikatu SSL VxRail Manager w klastrze z włączoną obsługą protokołu mTLS

Summary: Po włączeniu protokołu mTLS certyfikat SSL VxRail Manager musi spełniać nowe wymagania.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Użytkownik może skorzystać z funkcji interfejsu użytkownika wtyczki VxRail, aby zastąpić certyfikat SSL VxRail Manager. Certyfikat musi spełniać poniższe wymagania, aby spełniał standard bezpieczeństwa VxRail.

  1. Certyfikat musi być x509 w wersji 3.
  2. SubjectAltName musi zawierać DNS Name=machine_FQDN lub IP=machine_IP (tylko dla przypadku wymiaru)
  3. Identyfikator klucza podmiotu jest wymagany.
  4. Algorytm podpisu w całym łańcuchu certyfikatów powinien mieć wartość SHA256 lub wyższą.
  5. Zaleca się (nie jest to obowiązkowe) korzystanie z publicznego urzędu certyfikacji (CA) lub korporacyjnego urzędu certyfikacji do podpisywania certyfikatu VxRail Manager. Jeśli funkcja vLCM jest włączona, postępuj zgodnie z 000190239 , aby sprawdzić, czy certyfikat VxRail Manager został zastąpiony certyfikatem podpisanym przez vCenter.
  6. Począwszy od wersji VxRail 7.0.350, zabezpieczenia SSL/TLS VxRail zostały ulepszone. Dodano nowe wymaganie "Enhanced Key Usage" dla certyfikatu SSL VxRail Manager. Wykonaj poniższe czynności, aby sprawdzić certyfikat "Enhanced Key Usage":

W systemie Windows: Zmień rozszerzenie pliku certyfikatu na crt Następnie kliknij dwukrotnie ikonę crt i przejdź do strony "Details".

  1. Poniższe dwa przypadki są uważane za przypadki zgodności
    1. Nie ma segmentu "Ulepszone użycie klucza". Na przykład:
       Zrzut ekranu certyfikatu bez rozszerzonego użycia klucza 
       
    2. Jeśli istnieje segment "Rozszerzone użycie klucza", to "Uwierzytelnianie serwera" i "Uwierzytelnianie klienta" muszą znajdować się w segmencie "Rozszerzone użycie klucza". Na przykład:
      Zrzut ekranu przedstawiający włączone rozszerzone użycie kluczy 

W systemie Linux: Uruchom polecenie: openssl x509 -in <target_cert> -noout -purpose

  1. Upewnij się, że zarówno wartość "SSL client", jak i "SSL server" ma wartość "Yes".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.