VxRail: Požadavky na certifikát SSL VxRail Manager v clusteru s povoleným mTLS

Summary: Po povolení mTLS musí certifikát VxRail Manager SSL splňovat nové požadavky.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Uživatel může pomocí funkce uživatelského rozhraní doplňku VxRail nahradit certifikát SSL nástroje VxRail Manager. Certifikát musí splňovat níže uvedené požadavky, aby splňoval bezpečnostní standard VxRail.

  1. Certifikát musí být x509 verze 3.
  2. SubjectAltName musí obsahovat DNS Name=machine_FQDN nebo IP=machine_IP (pouze pro případ Dimension)
  3. Identifikátor klíče subjektu je povinný.
  4. Algoritmus podpisu v celém řetězci certifikátů by měl být SHA256 nebo lepší.
  5. K podpisu certifikátu VxRail Manager doporučujeme (není povinné) použít veřejnou certifikační autoritu (CA) nebo podnikovou certifikační autoritu. Pokud je povolena funkce vLCM, postupujte podle 000190239 pokynů a zkontrolujte, zda není certifikát nástroje VxRail Manager nahrazen certifikátem podepsaným nástrojem vCenter.
  6. Od verze VxRail 7.0.350 je vylepšeno zabezpečení SSL/TLS systému VxRail. Přidán nový požadavek "rozšířeného použití klíče" pro certifikát SSL nástroje VxRail Manager. Postupujte podle níže uvedených kroků a zkontrolujte certifikát "Enhanced Key Usage":

V systému Windows: Změňte příponu souboru certifikátu na crt Poté dvakrát klikněte na ikonu crt a přejděte na stránku "Podrobnosti".

  1. Níže uvedené dva případy jsou oba považovány za případy souladu s předpisy
    1. Neexistuje žádný segment "Rozšířené používání klíče". Například:
       Snímek certifikátu bez použití rozšířeného klíče 
       
    2. Pokud je k dispozici segment "Enhanced Key Usage", pak "Server Authentication" a "Client Authentication" musí být v segmentu "Enhanced Key Usage". Například:
      Snímek obrazovky s povoleným rozšířeným použitím klíče 

V systému Linux: Spusťte příkaz: openssl x509 -in <target_cert> -noout -purpose

  1. Ujistěte se, že hodnota "klient SSL" i "server SSL" jsou "Ano".
$ openssl x509 -in <target_cert> -noout -purpose
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

 

Affected Products

VxRail, VxRail Appliance Series, VxRail Software
Article Properties
Article Number: 000194174
Article Type: How To
Last Modified: 08 Oct 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.