Data Domain: Falha na importação de certificado SSL com "Extensão x509 v3 inválida" para o Cloud Tier ou a interface do usuário

Сводка: Ao importar um certificado SSL para o Data Domain Cloud Tier (CT) ou a interface do usuário do DD, pode ocorrer um erro indicando uma extensão x509 v3 inválida. Este artigo da KB explica a causa e apresenta as etapas de resolução para ambos os cenários. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Симптомы

Durante a configuração de SSL para:

  • Integração do Cloud Tier (por exemplo, com o ECS usando HTTPS) ou
  • Acesso à interface do usuário do DD usando um certificado assinado externamente,

O seguinte erro pode ser encontrado:

Invalid CA certificate x509 v3 extension

Entradas de log adicionais podem aparecer em /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Причина

Esse erro pode ocorrer devido a um ou mais dos seguintes motivos:

  1. Tipo de certificado incorreto

    • Para o Cloud Tier: O certificado deve ser um certificado de CA, não um certificado de endpoint.
    • Para a IU do DD: O certificado deve ser um certificado de host/servidor sem extensões inadequadas.

  2. Geração inadequada de chaves

    • Às vezes, a chave privada usada para gerar o certificado (como no ECS para um balanceador de carga F5) foi criada incorretamente.

  3. Disparidade de CSR

    • Algumas autoridades de certificação (CAs) podem ignorar as extensões solicitadas na CSR e retornar um certificado com extensões x509 v3 incompatíveis.

Разрешение

Para integração do nível da nuvem (CT) com o ECS usando o balanceador de carga F5:

Referência: Guia de administração do ECS

  1. Gerar chave privada no ECS

    • Faça log-in em um nó do ECS ou em um sistema conectado.
    • Execute:
      • openssl genrsa -des3 -out server.key 2048
    • Digite e confirme uma senha.
    • Remova a senha antes de carregar a chave no ECS.
    • Defina permissões:
      • chmod 0400 server.key
  2. Gerar certificado em F5 usando a chave do ECS
    • Siga as etapas no guia de integração relevante do Dell EMC ECS com F5 .

  3. Importar certificado para o Data Domain

    Nota: Certifique-se de que o certificado que está sendo importado seja o certificado da CA que assinou o certificado de endpoint, e não o certificado de endpoint em si.

    Para DD UI (HTTPS Access):

    1. Gerar CSR a partir do Data Domain

      • Use as ferramentas integradas do DD para gerar a CSR.
      • Envie o CSR à sua CA para assinatura.

    2. Importar o certificado assinado para o DD

      • Certifique-se de que o certificado retornado tenha extensões apropriadas (ou seja, servidor ou nenhuma).

    3. Solução de problemas

      • Se a importação falhar, inspecione o certificado usando:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Analise a compatibilidade das extensões x509 v3.

    Dica: A chave privada nunca sai do DD ao usar o método CSR, garantindo o manuseio seguro. 

    Дополнительная информация

    Exemplos de validação de certificado

    Um motivo comum para o erro "Extensão x509 v3 do certificado CA inválido" é importar um certificado que não é uma CA raiz ou não possui as extensões x509 corretas.

    Exemplo: Certificado de endpoint incorreto:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Esse certificado é para um servidor da Web, não para uma CA. Ele não pode ser usado como um certificado confiável no DD for Cloud Tier.

    Certificado CA intermediário correto:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Este é um certificado da CA, mas não é autoassinado. Ele é assinado pela CA raiz.

    Certificado de CA raiz correto:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Esse certificado de CA raiz autoassinado é o correto a ser importado para o DD.
        • Você também pode importar certificados intermediários da CA, se necessário, mas a CA raiz geralmente é necessária para a validação de confiança.

    Exemplo: Extensões de certificado de interface do usuário incorretas:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Esse certificado é marcado para autenticação de cliente e proteção de e-mail - não adequado para acesso HTTPS da interface do usuário do DD.

      Geração de CSR recomendada para a interface do usuário do DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Certifique-se de que a CA honre as extensões solicitadas ao assinar o certificado.

    Затронутые продукты

    Data Domain

    Продукты

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Свойства статьи
    Номер статьи: 000068703
    Тип статьи: Solution
    Последнее изменение: 07 Nov 2025
    Версия:  5
    Получите ответы на свои вопросы от других пользователей Dell
    Услуги технической поддержки
    Проверьте, распространяются ли на ваше устройство услуги технической поддержки.