Data Domain: SSL-sertifikatimport mislykkes med «Ugyldig x509 v3-utvidelse» for nettskynivå eller -brukergrensesnitt

Summary: Når du importerer et SSL-sertifikat for Data Domain Cloud Tier (CT) eller DD-grensesnittet, kan det oppstå en feil som angir en ugyldig x509 v3-utvidelse. Denne kunnskapsartikkelen forklarer årsaken og gir løsningstrinn for begge scenariene. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Under SSL-konfigurasjon for:

  • Cloud Tier-integrering (for eksempel med ECS ved hjelp av HTTPS), eller
  • DD UI-tilgang ved hjelp av et eksternt signert sertifikat,

Følgende feil kan oppstå:

Invalid CA certificate x509 v3 extension

Ytterligere loggoppføringer kan vises i /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Denne feilen kan oppstå på grunn av én eller flere av følgende årsaker:

  1. Feil sertifikattype

    • For Cloud Tier: Sertifikatet må være et CA-sertifikat, ikke et endepunktsertifikat.
    • For DD-grensesnitt: Sertifikatet må være et vert/server-sertifikat uten upassende utvidelser.

  2. Feil nøkkelgenerering

    • Noen ganger ble privatnøkkelen som ble brukt til å generere sertifikatet (for eksempel på ECS for en F5 Load Balancer), opprettet feil.

  3. CSR-uoverensstemmelse

    • Noen sertifiseringsinstanser ignorerer kanskje de forespurte tilleggsmodulene i CSR og returnerer et sertifikat med inkompatible x509 v3-tilleggsmoduler.

Resolution

For Cloud Tier (CT)-integrering med ECS ved hjelp av F5 Load Balancer:

Referanse: Administrasjonsveiledning for ECS

  1. Generer privat nøkkel på ECS

    • Logg på en ECS-node eller et tilkoblet system.
    • Kjør:
      • openssl genrsa -des3 -out server.key 2048
    • Skriv inn og bekreft en passfrase.
    • Fjern passfrasen før du laster opp nøkkelen til ECS.
    • Angi tillatelser:
      • chmod 0400 server.key
  2. Generer sertifikat på F5 ved hjelp av ECS-nøkkel
    • Følg trinnene i den relevante integreringsveiledningen for Dell EMC ECS med F5 .

  3. Importer sertifikat til datadomene

    Merk: Kontroller at sertifikatet som importeres, er CA-sertifikatet som signerte endepunktsertifikatet, ikke selve endepunktsertifikatet.

    For DD UI (HTTPS Access):

    1. Generer CSR fra Data Domain

      • Bruk DDs innebygde verktøy til å generere CSR.
      • Send inn CSR-en til sertifiseringsinstansen for signering.

    2. Importere det signerte sertifikatet til DD

      • Kontroller at det returnerte sertifikatet har riktige utvidelser (det vil si server eller ingen).

    3. Feilsøking

      • Hvis importen mislykkes, må du undersøke sertifikatet ved hjelp av:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Gjennomgå x509 v3-utvidelsene for kompatibilitet.

    Tips: Den private nøkkelen forlater aldri DD når du bruker CSR-metoden, noe som sikrer sikker håndtering. 

    Additional Information

    Eksempler på sertifikatvalidering

    En vanlig årsak til feilen "Ugyldig CA-sertifikat x509 v3-utvidelse" er å importere et sertifikat som ikke er en rotsertifiseringsinstans eller mangler de riktige x509-utvidelsene.

    Eksempel: Feil endepunktsertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dette sertifikatet er for en webserver, ikke en CA. Det kan ikke brukes som et klarert sertifikat i DD for Cloud Tier.

    Riktig mellomliggende CA-sertifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dette er et CA-sertifikat, men det er ikke selvsignert. Den er signert av roten CA.

    Riktig Root CA-sertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dette selvsignerte CA-rotsertifikatet er det riktige å importere til DD.
        • Du kan også importere midlertidige CA-sertifikater om nødvendig, men rotsertifiseringsinstansen kreves vanligvis for klareringsvalidering.

    Eksempel: Feil grensesnittsertifikatutvidelser:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dette sertifikatet er merket for klientautentisering og e-postbeskyttelse - ikke egnet for DD UI HTTPS-tilgang.

      Anbefalt CSR-generasjon for DD-grensesnitt:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Kontroller at sertifiseringsinstansen overholder de forespurte tilleggsmodulene når du signerer sertifikatet.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.