Data Domain: Import af SSL-certifikat mislykkes med "Ugyldig x509 v3-udvidelse" til Cloud Tier eller brugergrænseflade

Summary: Når du importerer et SSL-certifikat til Data Domain Cloud Tier (CT) eller DD-brugergrænsefladen, kan der opstå en fejl, der angiver et ugyldigt x509 v3-filtypenavn. Denne KB forklarer årsagen og indeholder løsningstrin for begge scenarier. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Under SSL-konfiguration for:

  • Cloud Tier-integration (f.eks. med ECS ved hjælp af HTTPS), eller
  • adgang til DD UI ved hjælp af et eksternt signeret certifikat,

Følgende fejl kan opstå:

Invalid CA certificate x509 v3 extension

Yderligere logposter kan blive vist i /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Denne fejl kan opstå af en eller flere af følgende årsager:

  1. Forkert certifikattype

    • For Cloud Tier: Certifikatet skal være et CA-certifikat, ikke et slutpunktscertifikat.
    • For DD-brugergrænseflade: Certifikatet skal være et værts-/servercertifikat uden upassende udvidelser.

  2. Forkert nøglegenerering

    • Nogle gange blev den private nøgle, der blev brugt til at generere certifikatet (f.eks. på ECS for en F5 Load Balancer), oprettet forkert.

  3. CSR-uoverensstemmelse

    • Nogle nøglecentre ignorerer muligvis de ønskede udvidelser i CSR'en og returnerer et certifikat med inkompatible x509 v3-udvidelser.

Resolution

Til Cloud Tier-integration (CT) med ECS ved hjælp af F5 Load Balancer:

Reference: ECS-administrationsvejledning

  1. Generer privat nøgle på ECS

    • Log på en ECS-node eller et tilsluttet system.
    • Kør:
      • openssl genrsa -des3 -out server.key 2048
    • Indtast og bekræft en adgangssætning.
    • Fjern adgangssætningen, før du uploader nøglen til ECS.
    • Angiv tilladelser:
      • chmod 0400 server.key
  2. Generer certifikat på F5 ved hjælp af ECS-nøglen
    • Følg trinnene i den relevante Dell EMC ECS med F5-integrationsvejledning .

  3. Importér certifikat til Data Domain

    Bemærk: Sørg for, at det certifikat, der importeres, er CA-certifikatet , der signerede slutpunktscertifikatet, ikke selve slutpunktscertifikatet.

    For DD UI (HTTPS-adgang):

    1. Generer CSR fra Data Domain

      • Brug DD's indbyggede værktøjer til at generere CSR.
      • Indsend CSR'en til dit nøglecenter til underskrift.

    2. Importer det signerede certifikat til DD

      • Sørg for, at det returnerede certifikat har de relevante lokalnumre (dvs. server eller ingen).

    3. Fejlfinding

      • Hvis importen mislykkes, skal du inspicere certifikatet ved hjælp af:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Gennemgå x509 v3-udvidelserne for kompatibilitet.

    Drikkepenge: Den private nøgle forlader aldrig DD, når CSR-metoden bruges, hvilket sikrer sikker håndtering. 

    Additional Information

    Eksempler på certifikatvalidering

    En almindelig årsag til fejlen "Ugyldigt CA-certifikat x509 v3-udvidelse" er at importere et certifikat, der ikke er et rodnøglecenter eller mangler de korrekte x509-udvidelser.

    Eksempel: Forkert slutpunktscertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dette certifikat er til en webserver, ikke et nøglecenter. Det kan ikke bruges som et pålideligt certifikat i DD til Cloud Tier.

    Korrekt mellemliggende CA-certifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dette er et CA-certifikat, men det er ikke selvsigneret. Det er signeret af rodnøglecenteret.

    Korrekt rodnøglecentercertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dette selvsignerede CA-rodcertifikat er det korrekte at importere til DD.
        • Du kan også importere mellemliggende CA-certifikater, hvis det er nødvendigt, men rodnøglecenteret er typisk påkrævet til validering af tillid.

    Eksempel: Forkerte UI-certifikatudvidelser:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dette certifikat er markeret til klientgodkendelse og e-mailbeskyttelse – ikke egnet til DD UI HTTPS-adgang.

      Anbefalet CSR-generering til DD-brugergrænseflade:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Sørg for, at nøglecenteret respekterer de ønskede udvidelser, når certifikatet underskrives.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.