Домен даних: Імпорт SSL-сертифікатів не вдається через "Invalid x509 v3 Extension" для хмарного рівня або інтерфейсу

Summary: Під час імпорту SSL-сертифіката для Data Domain Cloud Tier (CT) або DD UI може виникнути помилка, що вказує на недійсне розширення x509 v3. Ця база пояснює причину та пропонує кроки розв'язання обох сценаріїв. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Під час налаштування SSL для:

  • Інтеграція з хмарним рівнем (наприклад, з ECS за допомогою HTTPS), або
  • Доступ до інтерфейсу DD за допомогою зовнішньо підписаного сертифіката,

Може виникнути наступна помилка:

Invalid CA certificate x509 v3 extension

Додаткові записи в журналі можуть бути розміщені у /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Ця помилка може виникнути з однієї або кількох із наступних причин:

  1. Неправильний тип сертифіката

    • Для хмарного рівня: Сертифікат має бути сертифікатом CA, а не сертифікатом кінцевої точки.
    • Для інтерфейсу DD: Сертифікат має бути сертифікатом хоста/сервера без невідповідних розширень.

  2. Неправильна генерація ключів

    • Іноді приватний ключ, який використовувався для генерації сертифіката (наприклад, у ECS для балансування навантаження F5), створювався неправильно.

  3. Невідповідність CSR

    • Деякі центри сертифікації (CA) можуть ігнорувати запитувані розширення в CSR і повертати сертифікат із несумісними розширеннями x509 v3.

Resolution

Для інтеграції Cloud Tier (CT) з ECS за допомогою F5 Load Balancer:

Посилання: Керівництво з адміністрування ECS

  1. Генерація приватного ключа на ECS

    • Увійдіть у вузол ECS або підключену систему.
    • Бігти:
      • openssl genrsa -des3 -out server.key 2048
    • Введіть і підтвердьте пароль.
    • Видаліть пароль перед завантаженням ключа в ECS.
    • Встановіть дозволи:
      • chmod 0400 server.key
  2. Генерація сертифіката на F5 за допомогою ключа ECS
    • Дотримуйтесь кроків у відповідному посібнику з інтеграції Dell EMC ECS з F5 .

  3. Імпорт сертифіката в домен даних

    Примітка: Переконайтеся, що імпортований сертифікат — це сертифікат CA , який підписав сертифікат кінцевої точки, а не сам сертифікат кінцевої точки.

    Для DD UI (HTTPS Access):

    1. Генерація CSR з домену даних

      • Використовуйте вбудовані інструменти DD для генерації CSR.
      • Подайте CSR до вашого CA для підписання.

    2. Імпортуйте підписаний сертифікат у DD

      • Переконайтеся, що повернений сертифікат має відповідні розширення (тобто серверні або без них).

    3. Виправлення неполадок

      • Якщо імпорт не вдається, перевірте сертифікат за урахуванням:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Перегляньте розширення x509 v3 на сумісність.

    Кінчик: Приватний ключ ніколи не залишає DD при використанні методу CSR, що забезпечує безпечну обробку. 

    Additional Information

    Приклади перевірки сертифікатів

    Поширеною причиною помилки «Invalid CA certificate x509 v3 extension» є імпорт сертифіката, який не є кореневим CA або не має правильних розширень x509.

    Приклад: Неправильний сертифікат кінцевої точки:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Цей сертифікат призначений для веб-сервера, а не для CA. Його не можна використовувати як довірений сертифікат у DD для Cloud Tier.

    Правильний сертифікат середнього рівня CA:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Це сертифікат CA, але він не самопідписаний. Він підписується кореневим CA.

    Правильний кореневий сертифікат CA:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Цей самопідписаний кореневий сертифікат CA є правильним для імпорту в DD.
        • Ви також можете імпортувати проміжні сертифікати CA, якщо потрібно, але кореневий CA зазвичай потрібен для перевірки довіри.

    Приклад: Неправильні розширення сертифіката UI:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Цей сертифікат позначений для автентифікації клієнта та захисту електронної пошти — не підходить для доступу через DD UI HTTPS.

      Рекомендована генерація CSR для DD-інтерфейсу:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Переконайтеся, що CA дотримується запитаних продовжень при підписанні сертифіката.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.