VxRail. Требования для сертификата SSL VxRail Manager в кластере с поддержкой mTLS

Summary: После включения mTLS SSL-сертификат VxRail Manager должен соответствовать новым требованиям.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Пользователь может использовать функцию пользовательского интерфейса подключаемого модуля VxRail, чтобы заменить SSL-сертификат VxRail Manager. Чтобы соответствовать стандарту безопасности VxRail, сертификат должен соответствовать указанным ниже требованиям.

  1. Сертификат должен быть x509 версии 3.
  2. SubjectAltName должен содержать DNS Name=machine_FQDN или IP=machine_IP (только для регистра Dimension)
  3. Требуется идентификатор ключа субъекта.
  4. Алгоритм подписи во всей цепочке сертификатов должен быть SHA256 или выше.
  5. Рекомендуется (не обязательно) использовать общедоступный источник сертификатов (ИС) или корпоративный ЦС для подписи сертификата VxRail Manager. Если функция vLCM включена, выполните 000190239 , чтобы проверить, заменен ли сертификат VxRail Manager сертификатом, подписанным vCenter.
  6. Начиная с версии VxRail 7.0.350, безопасность SSL/TLS в VxRail повышена. Добавлено новое требование «Enhanced Key Usage» для SSL-сертификата VxRail Manager. Для проверки сертификата «Enhanced Key Usage» выполните следующие действия.

В Windows: Измените расширение файла сертификата на crt Затем дважды нажмите значок crt и перейдите на страницу "Details".

  1. Два следующих случая считаются случаями соблюдения нормативных требований
    1. Сегмент «Enhanced Key Usage» отсутствует. Пример.
       Снимок экрана сертификата без расширенного использования ключа 
       
    2. Если имеется сегмент «Enhanced Key Usage», то «Server Authentication» и «Client Authentication» должны быть в сегменте «Enhanced Key Usage». Пример.
      Снимок экрана, показывающий включенное расширенное использование клавиш 

В Linux: Выполните команду: openssl x509 -in <target_cert> -noout -purpose

  1. Убедитесь, что для параметров «SSL client» и «SSL server» установлено значение «Yes».
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.