VxRail: Krav för SSL-certifikat för VxRail Manager i ett mTLS-aktiverat kluster

Summary: När mTLS har aktiverats måste SSL-certifikatet för VxRail Manager uppfylla de nya kraven.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Användaren kan använda UI-funktionen för VxRail-insticksprogrammet för att byta ut SSL-certifikatet för VxRail Manager. Certifikatet måste uppfylla nedanstående krav för att uppfylla säkerhetsstandarden VxRail.

  1. Certifikatet måste vara x509 version 3.
  2. SubjectAltName Måste innehålla DNS Name=machine_FQDN eller IP=machine_IP (endast för Dimension-fodral)
  3. Identifierare för ämnesnyckel krävs.
  4. Signaturalgoritmen i hela certifikatkedjan ska vara SHA256 eller bättre.
  5. Vi rekommenderar (inte obligatoriskt) att du använder en offentlig certifikatutfärdare (CA) eller företagscertifikatutfärdare för att signera VxRail Manager-certifikatet. Om vLCM-funktionen är aktiverad följer du 000190239 för att kontrollera om VxRail Manager-certifikatet ersätts med ett vCenter-signerat certifikat.
  6. Från och med version VxRail 7.0.350 har SSL/TLS-säkerheten för VxRail förbättrats. Det nya kravet på "Enhanced Key Usage" för SSL-certifikat för VxRail Manager läggs till. Följ stegen nedan för att kontrollera certifikatet "Enhanced Key Usage":

På Windows: Ändra certifikatfilnamnstillägget till crt Dubbelklicka sedan på crt och gå till sidan "Details".

  1. Nedanstående två fall betraktas båda som efterlevnadsfall
    1. Det finns inget segment för "Förbättrad nyckelanvändning". Till exempel:
       Skärmbild av certifikat utan förbättrad nyckelanvändning 
       
    2. Om det finns segmentet "Förbättrad nyckelanvändning" måste "Serverautentisering" och "Klientautentisering" finnas i segmentet "Förbättrad nyckelanvändning". Till exempel:
      Skärmbild som visar hur förbättrad nyckelanvändning har aktiverats 

På Linux: Kör kommandot: openssl x509 -in <target_cert> -noout -purpose

  1. Kontrollera att både värdet för "SSL-klient" och "SSL-server" är "Ja".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.