Data Domain:SSL 憑證匯入失敗,雲端層或 UI 顯示「X509 v3 Extension 無效」

Summary: 匯入 Data Domain Cloud Tier (CT) 或 DD UI 的 SSL 憑證時,可能會發生錯誤,指出 x509 v3 延伸無效。本 KB 說明原因,並提供兩種情況的解決方案步驟。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

在設定下列 SSL 期間:

  • 雲端層整合 (例如,使用 HTTPS 與 ECS),或
  • 使用外部簽署憑證的 DD UI 存取

可能會遇到以下錯誤:

Invalid CA certificate x509 v3 extension

其他記錄項目可能會出現在 /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cause

此錯誤可能是由於以下一個或多個原因而發生的:

  1. 憑證類型不正確

    • 針對雲端層:證書必須是 CA 證書,而不是終結點證書。
    • 針對 DD UI:證書必須是沒有不適當擴展名的 主機/伺服器證書

  2. 不當的金鑰產生

    • 有時,用於生成證書的私鑰(例如,在 ECS 上的 F5 負載均衡器)創建不正確。

  3. CSR 不相符

    • 某些證書頒發機構 (CA) 可能會忽略 CSR 中請求的擴展,並返回具有不相容的 x509 v3 擴展的證書。

Resolution

針對使用 F5 負載平衡器與 ECS 進行雲端層 (CT) 整合:

參考資料:ECS 管理指南

  1. 在 ECS 上產生私密金鑰

    • 登入 ECS 節點或連線的系統。
    • 執行:
      • openssl genrsa -des3 -out server.key 2048
    • 輸入並確認密碼片語。
    • 請先移除密碼片語再將金鑰上傳至 ECS。
    • 設定權限:
      • chmod 0400 server.key
  2. 使用 ECS 金鑰在 F5 上產生憑證
    • 請按照相關 Dell EMC ECS 與 F5 整合指南中的步驟操作。

  3. 將憑證匯入 Data Domain

    注意:確保導入的證書是簽署終結點證書的 CA 證書 ,而不是終結點證書本身。

    針對 DD UI (HTTPS 存取):

    1. 從 Data Domain 產生 CSR

      • 使用 DD 的內建工具產生 CSR。
      • 將 CSR 提交至您的 CA 以供簽署。

    2. 將已簽署的憑證匯入 DD

      • 確保返回的證書具有適當的擴展名(即,伺服器或無)。

    3. 故障診斷

      • 如果匯入失敗,請使用下列方式檢查憑證:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • 查看 x509 v3 擴展的相容性。

    提示:使用 CSR 方法時,私密金鑰永不離開 DD,確保安全處理。 

    Additional Information

    憑證驗證範例

    錯誤 「無效的 CA 證書 x509 v3 擴展」 的常見原因是導入的證書不是 根 CA 或缺少正確的 x509 擴展。

    範例:不正確的端點憑證:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • 此證書適用於 Web 伺服器,而不是 CA。它不能作為雲端層 DD 中的受信任憑證使用。

    正確的中間 CA 憑證:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • 這是 CA 憑證,但不是 自我簽署。它由根 CA 簽名。

    正確的根 CA 憑證:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • 這個自我簽署的根 CA 憑證是匯入 DD 的正確憑證。
        • 如果需要,還可以導入中間 CA 證書,但信任驗證通常需要根 CA。

    範例:不正確的 UI 憑證延伸:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • 此憑證標示用於用戶端驗證和電子郵件保護 - 不適合 DD UI HTTPS 存取。

      建議的 DD UI 產生 CSR:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • 確保 CA 在簽署證書時遵循請求的擴展。

    Affected Products

    Data Domain

    Products

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Article Properties
    Article Number: 000068703
    Article Type: Solution
    Last Modified: 07 Nov 2025
    Version:  5
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.