VxRail: Вимоги до SSL-сертифіката VxRail Manger у кластері з підтримкою mTLS

Summary: Після включення mTLS SSL-сертифікат VxRail Manager повинен відповідати новим вимогам.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Користувач може слідувати функції інтерфейсу плагіна VxRail, щоб замінити SSL-сертифікат менеджера VxRail. Сертифікат повинен відповідати наведеним нижче вимогам для виконання стандарту безпеки VxRail.

  1. Сертифікат повинен бути x509 версії 3.
  2. SubjectAltName повинен містити DNS Name=machine_FQDN або IP=machine_IP (лише для випадку з розмірами)
  3. Потрібен ідентифікатор ключа суб'єкта.
  4. Алгоритм підпису у всьому ланцюжку сертифікатів має бути SHA256 або вище.
  5. Рекомендується (не обов'язково) використовувати публічний центр сертифікації (CA) або корпоративний ЦС для підписання сертифіката менеджера VxRail. Якщо функцію vLCM увімкнено, дотримуйтесь 000190239 , щоб перевірити, чи не замінено сертифікат менеджера VxRail сертифікатом із підписом vCenter.
  6. Починаючи з випуску VxRail 7.0.350, безпека SSL/TLS VxRail покращилася. Додано нову вимогу "Розширене використання ключів" для SSL-сертифіката VxRail manager. Виконайте наведені нижче дії, щоб перевірити сертифікат "Розширене використання ключа":

На пристроях з ОС Windows: Змініть розширення файлу сертифіката на crt а потім двічі клацніть піктограму crt і перейдіть на сторінку "Подробиці".

  1. Наведені нижче два випадки розглядаються як випадок відповідності
    1. Немає сегмента "Розширене використання ключів". Наприклад:
       Знімок екрана сертифіката без розширеного використання ключа 
       
    2. Якщо є сегмент "Розширене використання ключів", то "Автентифікація сервера" та "Автентифікація клієнта" мають бути в сегменті "Розширене використання ключа". Наприклад:
      Знімок екрана, на якому видно ввімкнено розширене використання клавіш 

На Linux: Команда виконання: openssl x509 -in <target_cert> -noout -purpose

  1. Переконайтеся, що обидва значення "SSL client" і "SSL server" мають значення "Yes".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.