VxRail: Requisitos para certificado SSL do VxRail Manager em um cluster habilitado para mTLS

Summary: Depois que o mTLS for ativado, o certificado SSL do VxRail Manager deverá atender aos novos requisitos.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

O usuário pode seguir a função de IU do plug-in do VxRail para substituir o certificado SSL do VxRail Manager. O certificado deve atender aos requisitos abaixo para atender ao padrão de segurança do VxRail.

  1. O certificado deve ser x509 versão 3.
  2. SubjectAltName Deve conter DNS Name=machine_FQDN ou IP=machine_IP (somente para o caso Dimension)
  3. O identificador da chave de assunto é obrigatório.
  4. O algoritmo de assinatura em toda a cadeia de certificados deve ser SHA256 ou superior.
  5. É recomendável (não obrigatório) usar uma autoridade de certificação (CA) pública ou uma CA corporativa para assinar o certificado do VxRail Manager. Se o recurso vLCM estiver ativado, siga 000190239 para verificar se o certificado do VxRail Manager foi substituído por um certificado assinado pelo vCenter.
  6. A partir da versão 7.0.350 do VxRail, a segurança SSL/TLS do VxRail é aprimorada. O novo requisito de "Uso aprimorado de chaves" para o certificado SSL do VxRail Manager foi adicionado. Siga as etapas abaixo para verificar o certificado "Enhanced Key Usage":

No Windows: Altere a extensão do arquivo de certificado para crt Em seguida, clique duas vezes no ícone crt e navegue até a página "Detalhes".

  1. Abaixo, dois casos são considerados como casos de conformidade
    1. Não há segmento "Enhanced Key Usage". Por exemplo:
       Captura de tela do certificado sem o uso aprimorado de chaves 
       
    2. Se houver o segmento "Enhanced Key Usage", então "Server Authentication" e "Client Authentication" devem estar no segmento "Enhanced Key Usage". Por exemplo:
      Captura de tela mostrando o uso aprimorado de chaves ativado 

No Linux: Comando de execução: openssl x509 -in <target_cert> -noout -purpose

  1. Certifique-se de que os valores "SSL client" e "SSL server" sejam "Yes".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.