Data Domain:SSL 证书导入失败,云层或 UI 显示“无效的 x509 v3 扩展”

Summary: 导入 Data Domain Cloud Tier (CT) 或 DD UI 的 SSL 证书时,可能会发生错误,指示 x509 v3 扩展无效。本知识库文章解释了原因,并提供了这两种情况的解决步骤。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

在以下 SSL 配置期间:

  • Cloud Tier 集成 (例如,与使用 HTTPS 的 ECS 集成),或
  • 使用外部签名证书访问 DD UI

可能会遇到以下错误:

Invalid CA certificate x509 v3 extension

其他日志条目可能出现在 /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

出现此错误的原因可能有以下一个或多个:

  1. 证书类型不正确

    • 对于 Cloud Tier:证书必须是 CA 证书,而不是端点证书。
    • 对于 DD UI:证书必须是没有不当扩展名的 主机/服务器证书

  2. 不正确的密钥生成

    • 有时,用于生成证书的私钥(例如,在 ECS 上的 F5 负载平衡器)创建错误。

  3. CSR 不匹配

    • 某些证书颁发机构 (CA) 可能会忽略 CSR 中请求的扩展,并返回具有不兼容的 x509 v3 扩展的证书。

Resolution

对于使用 F5 负载平衡器与 ECS 的 Cloud Tier (CT) 集成:

参考:ECS 管理指南

  1. 在 ECS 上生成私钥

    • 登录 ECS 节点或连接的系统。
    • 运行:
      • openssl genrsa -des3 -out server.key 2048
    • 输入并确认密码。
    • 在将密钥上传到 ECS 之前删除密码。
    • 设置权限:
      • chmod 0400 server.key
  2. 使用 ECS 密钥在 F5 上生成证书
    • 按照 采用 F5 的相关 Dell EMC ECS 集成指南中的步骤进行作。

  3. 将证书导入 Data Domain

    提醒:确保导入的证书是签署端点证书的 CA 证书 ,而不是端点证书本身。

    对于 DD UI(HTTPS 访问):

    1. 从 Data Domain 生成 CSR

      • 使用 DD 的内置工具生成 CSR。
      • 将 CSR 提交给 CA 进行签名。

    2. 将签名证书导入 DD

      • 确保返回的证书具有适当的扩展名(即,服务器或无)。

    3. 故障处理

      • 如果导入失败,请使用以下命令检查证书:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • 查看 x509 v3 扩展的兼容性。

    提示:使用 CSR 方法时,私钥永远不会离开 DD,从而确保安全处理。 

    Additional Information

    证书验证示例

    “无效的 CA 证书 x509 v3 扩展名”错误的常见原因是导入的证书不是根 CA 或缺少正确的 x509 扩展名。

    示例:端点证书不正确:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • 此证书适用于 Web 服务器,而不是 CA。它不能用作 DD for Cloud Tier 中的受信任证书。

    正确的中间 CA 证书:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • 这是 CA 证书, 但不是自签名证书。它由根 CA 签名。

    正确的根 CA 证书:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • 此自签名根 CA 证书是导入 DD 的正确证书。
        • 如果需要,您也可以导入中间 CA 证书,但信任验证通常需要根 CA。

    示例:UI 证书扩展名不正确:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • 此证书标记为客户端身份验证和电子邮件保护 — 不适合 DD UI HTTPS 访问。

      建议的 DD UI CSR 代次:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • 在签署证书时,确保 CA 遵循请求的扩展。

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.