VxRail:在已啟用 mTLS 的叢集中 VxRail Manger SSL 憑證的需求
Summary: 啟用 mTLS 後,VxRail Manager SSL 憑證必須符合新的需求。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
使用者可以依照 VxRail 附掛程式 UI 功能更換 VxRail Manager SSL 憑證。憑證必須符合以下要求,才能符合 VxRail 安全性標準。
- 證書必須是 x509 版本 3。
SubjectAltName必須包含DNS Name=machine_FQDN或IP=machine_IP(僅適用於尺寸大小寫)- 主體金鑰識別碼為必填。
- 整個證書鏈中的簽名演演演算法應為SHA256或更高。
- 建議 (非強制要求) 使用公有認證機構 (CA) 或企業 CA 來簽署 VxRail Manager 憑證。如果 vLCM 功能已啟用,請依照000190239 檢查 VxRail Manager 憑證是否已更換為 vCenter 簽署憑證。
- 從 VxRail 7.0.350 版本開始,VxRail 的 SSL/TLS 安全性已增強。新增了 VxRail Manager SSL 憑證 「強化金鑰用法」 要求。請按照以下步驟檢查憑證 「增強型金鑰用法」:
在 Windows 上:將認證檔案副檔名變更為 crt 然後按兩下 crt 檔,並導航到「詳細資訊」頁面。
- 以下兩種情況均被視為合規情況
- 沒有 「增強型金鑰用法」 區段。例如:
- 如果有 「增強型金鑰用法」 區段,則 「伺服器認證」 和 「用戶端認證」 必須位於 「強化型金鑰用法」 區段中。例如:
- 沒有 「增強型金鑰用法」 區段。例如:
在 Linux 上:執行命令: openssl x509 -in <target_cert> -noout -purpose
- 確定「SSL 用戶端」和「SSL 伺服器」值皆為「是」。
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No
Affected Products
VxRail, VxRail Appliance Series, VxRail SoftwareArticle Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.