Data Domain: Falha na importação de certificado SSL com "Extensão x509 v3 inválida" para o Cloud Tier ou a interface do usuário

Summary: Ao importar um certificado SSL para o Data Domain Cloud Tier (CT) ou a interface do usuário do DD, pode ocorrer um erro indicando uma extensão x509 v3 inválida. Este artigo da KB explica a causa e apresenta as etapas de resolução para ambos os cenários. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Durante a configuração de SSL para:

  • Integração do Cloud Tier (por exemplo, com o ECS usando HTTPS) ou
  • Acesso à interface do usuário do DD usando um certificado assinado externamente,

O seguinte erro pode ser encontrado:

Invalid CA certificate x509 v3 extension

Entradas de log adicionais podem aparecer em /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Esse erro pode ocorrer devido a um ou mais dos seguintes motivos:

  1. Tipo de certificado incorreto

    • Para o Cloud Tier: O certificado deve ser um certificado de CA, não um certificado de endpoint.
    • Para a IU do DD: O certificado deve ser um certificado de host/servidor sem extensões inadequadas.

  2. Geração inadequada de chaves

    • Às vezes, a chave privada usada para gerar o certificado (como no ECS para um balanceador de carga F5) foi criada incorretamente.

  3. Disparidade de CSR

    • Algumas autoridades de certificação (CAs) podem ignorar as extensões solicitadas na CSR e retornar um certificado com extensões x509 v3 incompatíveis.

Resolution

Para integração do nível da nuvem (CT) com o ECS usando o balanceador de carga F5:

Referência: Guia de administração do ECS

  1. Gerar chave privada no ECS

    • Faça log-in em um nó do ECS ou em um sistema conectado.
    • Execute:
      • openssl genrsa -des3 -out server.key 2048
    • Digite e confirme uma senha.
    • Remova a senha antes de carregar a chave no ECS.
    • Defina permissões:
      • chmod 0400 server.key
  2. Gerar certificado em F5 usando a chave do ECS
    • Siga as etapas no guia de integração relevante do Dell EMC ECS com F5 .

  3. Importar certificado para o Data Domain

    Nota: Certifique-se de que o certificado que está sendo importado seja o certificado da CA que assinou o certificado de endpoint, e não o certificado de endpoint em si.

    Para DD UI (HTTPS Access):

    1. Gerar CSR a partir do Data Domain

      • Use as ferramentas integradas do DD para gerar a CSR.
      • Envie o CSR à sua CA para assinatura.

    2. Importar o certificado assinado para o DD

      • Certifique-se de que o certificado retornado tenha extensões apropriadas (ou seja, servidor ou nenhuma).

    3. Solução de problemas

      • Se a importação falhar, inspecione o certificado usando:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Analise a compatibilidade das extensões x509 v3.

    Dica: A chave privada nunca sai do DD ao usar o método CSR, garantindo o manuseio seguro. 

    Additional Information

    Exemplos de validação de certificado

    Um motivo comum para o erro "Extensão x509 v3 do certificado CA inválido" é importar um certificado que não é uma CA raiz ou não possui as extensões x509 corretas.

    Exemplo: Certificado de endpoint incorreto:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Esse certificado é para um servidor da Web, não para uma CA. Ele não pode ser usado como um certificado confiável no DD for Cloud Tier.

    Certificado CA intermediário correto:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Este é um certificado da CA, mas não é autoassinado. Ele é assinado pela CA raiz.

    Certificado de CA raiz correto:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Esse certificado de CA raiz autoassinado é o correto a ser importado para o DD.
        • Você também pode importar certificados intermediários da CA, se necessário, mas a CA raiz geralmente é necessária para a validação de confiança.

    Exemplo: Extensões de certificado de interface do usuário incorretas:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Esse certificado é marcado para autenticação de cliente e proteção de e-mail - não adequado para acesso HTTPS da interface do usuário do DD.

      Geração de CSR recomendada para a interface do usuário do DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Certifique-se de que a CA honre as extensões solicitadas ao assinar o certificado.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.