Data Domain: Het importeren van SSL-certificaten mislukt met 'Invalid x509 v3 Extension' voor cloudlaag of gebruikersinterface

Summary: Bij het importeren van een SSL-certificaat voor Data Domain Cloud Tier (CT) of de DD-gebruikersinterface kan er een fout optreden die wijst op een ongeldige x509 v3-extensie. In dit KB-artikel wordt de oorzaak uitgelegd en vindt u stappen om beide scenario's op te lossen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Tijdens SSL-configuratie voor:

  • Cloud Tier-integratie (bijvoorbeeld met ECS via HTTPS), of
  • DD UI-toegang met behulp van een extern ondertekend certificaat,

De volgende fout kan worden aangetroffen:

Invalid CA certificate x509 v3 extension

Aanvullende logboekvermeldingen kunnen worden weergegeven in /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Deze fout kan optreden als gevolg van een of meer van de volgende redenen:

  1. Onjuist certificaattype

    • Voor Cloud Tier: Het certificaat moet een CA-certificaat zijn, geen eindpuntcertificaat.
    • Voor DD UI: Het certificaat moet een host-/servercertificaat zijn zonder ongepaste extensies.

  2. Onjuiste sleutelgeneratie

    • Soms is de persoonlijke sleutel die wordt gebruikt om het certificaat te genereren (bijvoorbeeld op ECS voor een F5 Load Balancer) onjuist gemaakt.

  3. CSR komt niet overeen

    • Sommige certificeringsinstanties (CA's) kunnen de gevraagde extensies in de CSR negeren en een certificaat retourneren met incompatibele x509 v3-extensies.

Resolution

Voor Cloud Tier (CT)-integratie met ECS met behulp van F5 Load Balancer:

Referentie: ECS beheerhandleiding

  1. Generate Private Key on ECS

    • Meld u aan bij een ECS knooppunt of een aangesloten systeem.
    • Voer het volgende uit:
      • openssl genrsa -des3 -out server.key 2048
    • Voer een wachtwoordzin in en bevestig deze.
    • Verwijder de wachtwoordzin voordat u de sleutel uploadt naar ECS.
    • Machtigingen instellen:
      • chmod 0400 server.key
  2. Certificaat genereren op F5 met ECS-sleutel
    • Volg de stappen in de relevante Dell EMC ECS met F5-integratiehandleiding .

  3. Certificaat importeren in Data Domain

    Opmerking: Zorg ervoor dat het certificaat dat wordt geïmporteerd het CA-certificaat is dat het eindpuntcertificaat heeft ondertekend, niet het eindpuntcertificaat zelf.

    Voor DD UI (HTTPS-toegang):

    1. CSR genereren op basis van Data Domain

      • Gebruik de ingebouwde tools van DD om de CSR te genereren.
      • Dien de CSR ter ondertekening in bij uw CA.

    2. Importeer het ondertekende certificaat in DD

      • Zorg ervoor dat het geretourneerde certificaat de juiste extensies heeft (dat wil zeggen, server of geen).

    3. Probleemoplossing

      • Als het importeren mislukt, controleert u het certificaat met behulp van:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Controleer de x509 v3-extensies op compatibiliteit.

    Fooi: De persoonlijke sleutel verlaat het DD nooit bij gebruik van de CSR-methode, wat een veilige afhandeling garandeert. 

    Additional Information

    Voorbeelden van certificaatvalidatie

    Een veelvoorkomende reden voor de foutmelding "Invalid CA certificate x509 v3 extension" is het importeren van een certificaat dat geen basis-CA is of niet de juiste x509-extensies heeft.

    Voorbeeld: Incorrect Endpoint Certificate:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dit certificaat is voor een webserver, niet voor een CA. Het kan niet worden gebruikt als een vertrouwd certificaat in DD for Cloud Tier.

    Correct tussenliggend CA-certificaat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dit is een CA-certificaat, maar het is niet zelfondertekend. Het wordt ondertekend door de root-CA.

    Correct basis-CA-certificaat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dit zelfondertekende basis-CA-certificaat is het juiste certificaat om in DD te importeren.
        • U kunt indien nodig ook tussenliggende CA-certificaten importeren, maar de basis-CA is meestal vereist voor vertrouwensvalidatie.

    Voorbeeld: Onjuiste UI-certificaatextensies:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dit certificaat is gemarkeerd voor clientverificatie en e-mailbeveiliging, niet geschikt voor DD UI HTTPS-toegang.

      Aanbevolen CSR-generatie voor DD UI:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Ervoor zorgen dat de CA de aangevraagde extensies honoreert bij het ondertekenen van het certificaat.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.