Data Domain: SSL Sertifikasını İçe Aktarma İşlemi, Bulut Katmanı veya Kullanıcı Arayüzü İçin "Geçersiz x509 v3 Uzantısı" Hatasıyla Başarısız Oluyor

Summary: Data Domain Bulut Katmanı (CT) veya DD kullanıcı arayüzü için bir SSL sertifikasını içe aktarırken, geçersiz x509 v3 uzantısını belirten bir hata oluşabilir. Bu KB, bunun nedenini açıklar ve her iki senaryo için de çözüm adımları sağlar. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Şunun için SSL yapılandırması sırasında:

  • Bulut Katmanı entegrasyonu (ör. HTTPS kullanan ECS ile) veya
  • Harici olarak imzalanmış bir sertifika kullanarak DD UI erişimi,

Aşağıdaki hatayla karşılaşılabilir:

Invalid CA certificate x509 v3 extension

Ek günlük girişleri şurada görüntülenebilir: /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

Bu hata, aşağıdaki nedenlerden biri veya birkaçı nedeniyle oluşabilir:

  1. Yanlış Sertifika Türü

    • Bulut Katmanı için: Sertifika, uç nokta sertifikası değil, CA sertifikası olmalıdır.
    • DD UI için: Sertifika, uygun uzantılara sahip olmayan bir ana bilgisayar/sunucu sertifikası olmalıdır.

  2. Yanlış Anahtar Oluşturma

    • Bazen, sertifikayı oluşturmak için kullanılan özel anahtar (örneğin, F5 Yük Dengeleyici için ECS'de) yanlış oluşturulmuştur.

  3. CSR Uyumsuzluğu

    • Bazı Sertifika Yetkilileri (CA), CSR'de istenen uzantıları yoksayabilir ve uyumsuz x509 v3 uzantılarına sahip bir sertifika döndürebilir.

Resolution

F5 Yük Dengeleyici kullanarak ECS ile Bulut Katmanı (CT) Entegrasyonu için:

Referans: ECS yönetim rehberi

  1. ECS de Özel Anahtar Oluştur

    • Bir ECS düğümünde veya bağlı bir sistemde oturum açın.
    • Şu komutu çalıştırın:
      • openssl genrsa -des3 -out server.key 2048
    • Bir anahtar parolası girin ve onaylayın.
    • Anahtarı ECS'ye yüklemeden önce anahtar parolasını kaldırın.
    • İzinleri ayarlayın:
      • chmod 0400 server.key
  2. ECS Anahtarını kullanarak F5 te Sertifika Oluşturma
    • F5 özellikli Dell EMC ECS entegrasyon rehberindeki adımları uygulayın.

  3. Sertifikayı Data Domain'e Aktarma

    Not: İçeri aktarılan sertifikanın, uç nokta sertifikasının kendisi değil, uç nokta sertifikasını imzalayan CA sertifikası olduğundan emin olun.

    DD UI (HTTPS Erişimi) için:

    1. Data Domain'den CSR Oluşturma

      • CSR oluşturmak için DD'nin yerleşik araçlarını kullanın.
      • CSR'yi imzalaması için CA'nıza gönderin.

    2. İmzalı Sertifikayı DD ye aktarma

      • Döndürülen sertifikanın uygun uzantılara (sunucu veya hiçbiri) sahip olduğundan emin olun.

    3. Sorun Giderme

      • İçe aktarma başarısız olursa aşağıdakileri kullanarak sertifikayı inceleyin:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Uyumluluk için x509 v3 uzantılarını gözden geçirin.

    İpucu: CSR yöntemini kullanırken özel anahtar hiçbir zaman DD'den ayrılmaz ve güvenli kullanım sağlar. 

    Additional Information

    Sertifika Doğrulama Örnekleri

    "Geçersiz CA sertifikası x509 v3 uzantısı" hatasının yaygın bir nedeni, kök CA olmayan veya doğru x509 uzantılarına sahip olmayan bir sertifikayı içe aktarmaktır.

    Örneğin: Yanlış Uç Nokta Sertifikası:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Bu sertifika bir CA için değil, bir web sunucusu içindir. Bulut Katmanı için DD'de güvenilir sertifika olarak kullanılamaz.

    Correct Intermediate CA Certificate:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Bu bir CA sertifikasıdır, ancak kendinden imzalı değildir. Kök CA tarafından imzalanır.

    Correct Root CA Certificate:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Bu kendinden imzalı kök CA sertifikası, DD ye içe aktarılması doğru sertifikadır.
        • Gerekirse ara CA sertifikalarını da içe aktarabilirsiniz ancak güven doğrulaması için genellikle kök CA gereklidir.

    Örneğin: Incorrect UI Certificate Extensions:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Bu sertifika, istemci kimlik doğrulaması ve e-posta koruması için işaretlenmiştir - DD UI HTTPS erişimi için uygun değildir.

      DD Kullanıcı Arayüzü için Önerilen CSR Oluşturma:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Sertifikayı imzalarken CA'nın istenen uzantıları dikkate aldığından emin olun.

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.