VxRail:启用 mTLS 的群集中的 VxRail Manger SSL 证书的要求
Summary: 启用 mTLS 后,VxRail Manager SSL 证书必须满足新的要求。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
用户可以按照 VxRail 插件 UI 功能替换 VxRail Manager SSL 证书。该证书必须满足以下要求才能符合 VxRail 安全标准。
- 证书必须是 x509 版本 3。
SubjectAltName必须包含DNS Name=machine_FQDN或IP=machine_IP(仅适用于 Dimension 案例)- 主题密钥标识符为必填项。
- 整个证书链中的签名算法应为 SHA256 或更好。
- 建议(非强制)使用公共证书颁发机构 (CA) 或公司 CA 签署 VxRail Manager 证书。如果启用了 vLCM 功能,请按照000190239 检查 VxRail Manager 证书是否已替换为 vCenter 签名的证书。
- 从 VxRail 7.0.350 版本开始,VxRail 的 SSL/TLS 安全性得到增强。新增了针对 VxRail Manager SSL 证书的 “增强型密钥用法” 要求。请按照以下步骤检查证书 “Enhanced Key Usage”:
在 Windows 上:将证书文件扩展名更改为 crt 然后双击 crt 文件并导航到“详细信息”页面。
- 以下两个案例均被视为合规案例
- 没有 “增强的密钥用法” 段。例如:
- 如果有 “Enhanced Key Usage” 段, 则“Server Authentication” 和 “Client Authentication” 必须位于 “Enhanced Key Usage” 段中。例如:
- 没有 “增强的密钥用法” 段。例如:
在 Linux 上:运行命令: openssl x509 -in <target_cert> -noout -purpose
- 确保“SSL client”和“SSL server”值均为“Yes”。
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No
Affected Products
VxRail, VxRail Appliance Series, VxRail SoftwareArticle Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.