Data Domain: Import des SSL-Zertifikats schlägt mit "Invalid x509 v3 Extension" für Cloud Tier oder UI fehl

Summary: Beim Importieren eines SSL-Zertifikats für Data Domain Cloud Tier (CT) oder die DD-Benutzeroberfläche kann ein Fehler auftreten, der auf eine ungültige x509 v3-Erweiterung hinweist. In diesem Wissensdatenbank-Artikel werden die Ursache erläutert und Lösungsschritte für beide Szenarien bereitgestellt. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Während der SSL-Konfiguration für:

  • Cloud-Tier-Integration (z. B. mit ECS über HTTPS) oder
  • DD-UI-Zugriff über ein extern signiertes Zertifikat,

Möglicherweise tritt der folgende Fehler auf:

Invalid CA certificate x509 v3 extension

Zusätzliche Protokolleinträge können angezeigt werden in /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Dieser Fehler kann aus einem oder mehreren der folgenden Gründe auftreten:

  1. Falscher Zertifikattyp

    • Für Cloud Tier: Das Zertifikat muss ein CA-Zertifikat sein, kein Endpunktzertifikat.
    • Für die DD-Benutzeroberfläche: Das Zertifikat muss ein Host-/Serverzertifikat ohne ungeeignete Erweiterungen sein.

  2. Unsachgemäße Schlüsselerzeugung

    • Manchmal wurde der private Schlüssel, der zum Erzeugen des Zertifikats verwendet wird (z. B. auf ECS für einen F5 Load Balancer), falsch erstellt.

  3. Nicht übereinstimmende CSR

    • Einige Zertifizierungsstellen (CAs) ignorieren möglicherweise die angeforderten Erweiterungen in der CSR und geben ein Zertifikat mit inkompatiblen x509 v3-Erweiterungen zurück.

Resolution

Für die Cloud Tier (CT)-Integration in ECS mit F5 Load Balancer:

Referenz: ECS-Administrationshandbuch

  1. Generieren eines privaten Schlüssels auf ECS

    • Melden Sie sich bei einem ECS-Node oder einem verbundenen System an.
    • Führen Sie folgenden Befehl aus:
      • openssl genrsa -des3 -out server.key 2048
    • Geben Sie eine Passphrase ein und bestätigen Sie sie.
    • Entfernen Sie die Passphrase, bevor Sie den Schlüssel in ECS hochladen.
    • Berechtigungen festlegen:
      • chmod 0400 server.key
  2. Erzeugen eines Zertifikats auf F5 mithilfe des ECS-Schlüssels
    • Befolgen Sie die Schritte im entsprechenden Dell EMC ECS mit F5-Integrationshandbuch .

  3. Zertifikat in Data Domain importieren

    Hinweis: Stellen Sie sicher, dass das zu importierende Zertifikat das CA-Zertifikat ist, das das Endpunktzertifikat signiert hat, und nicht das Endpunktzertifikat selbst.

    Für DD UI (HTTPS-Zugriff):

    1. CSR aus Data Domain generieren

      • Verwenden Sie die integrierten Tools von DD, um die CSR zu erzeugen.
      • Senden Sie die CSR zur Signierung an Ihre Zertifizierungsstelle.

    2. Importieren des signierten Zertifikats in DD

      • Stellen Sie sicher, dass das zurückgegebene Zertifikat über die entsprechenden Erweiterungen verfügt (d. h. Server oder keine).

    3. Troubleshooting

      • Wenn der Import fehlschlägt, überprüfen Sie das Zertifikat wie folgt:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Überprüfen Sie die x509 v3-Erweiterungen auf Kompatibilität.

    Tipp: Der private Schlüssel verlässt die DD nie, wenn die CSR-Methode verwendet wird, wodurch eine sichere Verarbeitung gewährleistet wird. 

    Additional Information

    Beispiele für die Zertifikatvalidierung

    Ein häufiger Grund für den Fehler "Ungültiges CA-Zertifikat x509 v3-Erweiterung" ist das Importieren eines Zertifikats, das keine Stammzertifizierungsstelle ist oder nicht über die richtigen x509-Erweiterungen verfügt.

    Beispiel: Falsches Endpunktzertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dieses Zertifikat ist für einen Webserver, nicht für eine Zertifizierungsstelle bestimmt. Es kann nicht als vertrauenswürdiges Zertifikat in DD for Cloud Tier verwendet werden.

    Richtiges CA-Zwischenzertifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dies ist ein CA-Zertifikat, das jedoch nicht selbstsigniert ist. Es wird von der Stammzertifizierungsstelle signiert.

    Richtiges Stammzertifizierungsstellenzertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dieses selbstsignierte Stamm-CA-Zertifikat ist das richtige für den Import in DD.
        • Sie können bei Bedarf auch Zertifikate der Zwischenzertifizierungsstelle importieren, aber in der Regel ist die Stammzertifizierungsstelle für die Vertrauensprüfung erforderlich.

    Beispiel: Falsche UI-Zertifikaterweiterungen:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dieses Zertifikat ist für Clientauthentifizierung und E-Mail-Schutz markiert – nicht geeignet für den HTTPS-Zugriff auf die DD-Benutzeroberfläche.

      Empfohlene CSR-Generierung für die DD-Benutzeroberfläche:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Stellen Sie sicher, dass die Zertifizierungsstelle beim Signieren des Zertifikats die angeforderten Erweiterungen berücksichtigt.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.