Data Domain: SSL-varmenteen tuonti epäonnistuu ja näyttöön tulee "Invalid x509 v3 Extension" pilvitasolle tai käyttöliittymään

Summary: Kun tuodaan Data Domain Cloud Tier (CT) -tason tai DD-käyttöliittymän SSL-varmenne, saattaa ilmetä virhe, joka viittaa virheelliseen x509 v3 -laajennukseen. Tässä tietämyskannan artikkelissa selitetään molempien skenaarioiden syy ja esitetään ratkaisuvaiheet. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

SSL-määrityksen aikana:

  • Cloud Tier -integrointi (kuten ECS:n käyttäminen HTTPS:n avulla) tai
  • DD-käyttöliittymän käyttö ulkoisesti allekirjoitetulla varmenteella,

Näyttöön saattaa tulla seuraava virhe:

Invalid CA certificate x509 v3 extension

Muita lokimerkintöjä voi näkyä kohdassa /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Tämä virhe voi johtua yhdestä tai useammasta seuraavista syistä:

  1. Virheellinen varmennetyyppi

    • Pilvitaso: Varmenteen on oltava CA-varmenne, ei päätepistevarmenne.
    • DD-käyttöliittymä: Varmenteen on oltava isäntä/palvelinvarmenne ilman sopimattomia laajennuksia.

  2. Virheellinen avainten luonti

    • Joskus varmenteen luontiin käytetty yksityinen avain (kuten ECS:ssä F5-kuormituksentasaajalle) on luotu virheellisesti.

  3. CSR-ristiriita

    • Jotkin varmenteiden myöntäjät saattavat ohittaa pyydetyt laajennukset CSR:ssä ja palauttaa varmenteen, jossa on yhteensopimattomia x509 v3 -laajennuksia.

Resolution

Cloud Tier (CT) -integrointi ECS:ään F5-kuormituksentasauksen avulla:

Viite: ECS:n hallintaopas

  1. Luo yksityinen avain ECS:ssä

    • Kirjaudu ECS-solmuun tai yhdistettyyn järjestelmään.
    • Suorita:
      • openssl genrsa -des3 -out server.key 2048
    • Anna ja vahvista tunnuslause.
    • Poista salasana, ennen kuin lataat avaimen ECS:ään.
    • Aseta käyttöoikeudet:
      • chmod 0400 server.key
  2. Luo varmenne F5-näppäimellä ECS-näppäimellä
    • Noudata asiaankuuluvan Dell EMC ECS with F5 -integrointioppaan ohjeita.

  3. Varmenteen tuominen Data Domainiin

    Huomautus: Varmista, että tuotava varmenne on päätepisteen varmenteen allekirjoittanut CA-varmenne , ei itse päätepistevarmenne.

    DD-käyttöliittymä (https-käyttö):

    1. Luo CSR Data Domainista

      • Käytä DD:n sisäänrakennettuja työkaluja CSR:n luomiseen.
      • Lähetä CSR varmentajallesi allekirjoitettavaksi.

    2. Allekirjoitetun varmenteen tuominen DD:hen

      • Varmista, että palautetulla varmenteella on asianmukaiset laajennukset (eli palvelin tai ei mitään).

    3. Vianmääritys

      • Jos tuonti epäonnistuu, tarkista varmenne käyttämällä:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Tarkista x509 v3 -laajennusten yhteensopivuus.

    Vihje: Yksityinen avain ei koskaan poistu DD:stä CSR-menetelmää käytettäessä, mikä varmistaa turvallisen käsittelyn. 

    Additional Information

    Esimerkkejä varmenteiden validoinnista

    Yleinen syy virheeseen "Virheellinen CA-varmenne x509 v3 laajennus" on sellaisen varmenteen tuominen, joka ei ole päävarmenteiden myöntäjä tai josta puuttuu oikeat x509-laajennukset.

    Esimerkki: Virheellinen päätepisteen varmenne:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Tämä varmenne koskee verkkopalvelinta, ei varmenteiden myöntäjää. Sitä ei voi käyttää luotettuna varmenteena DD Cloud Tierissä.

    Oikea CA-välitodistus:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Tämä on CA-varmenne, mutta sitä ei ole itse allekirjoitettu. Sen allekirjoittaa juuri CA.

    Oikea CA-päävarmenne:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Tämä itse allekirjoitettu CA-päävarmenne on oikea tuotavaksi DD:hen.
        • Voit myös tuoda CA-välivarmenteita tarvittaessa, mutta luottamuksen vahvistus edellyttää yleensä päävarmenteiden myöntäjää.

    Esimerkki: Virheelliset käyttöliittymävarmenteiden laajennukset:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Tämä varmenne on merkitty asiakkaan todennusta ja sähköpostin suojausta varten - ei sovellu DD UI HTTPS -käyttöön.

      Suositeltu CSR-luonti DD-käyttöliittymälle:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Varmista varmenteen allekirjoittamisen yhteydessä, että varmentaja noudattaa pyydettyjä laajennuksia.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.