Data Domain. Сбой импорта сертификата SSL с ошибкой «Invalid x509 v3 Extension» для Cloud Tier или пользовательского интерфейса

Сводка: При импорте SSL-сертификата для Data Domain Cloud Tier (CT) или пользовательского интерфейса DD может произойти ошибка, указывающая на недопустимое расширение x509 v3. В этой статье базы знаний объясняется причина и приводятся шаги по решению для обоих сценариев. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Симптомы

Во время настройки SSL для:

  • Интеграция Cloud Tier (например, с использованием HTTPS в ECS) или
  • Доступ к DD UI с использованием сертификата, подписанного извне,

Может возникнуть следующая ошибка:

Invalid CA certificate x509 v3 extension

Дополнительные записи журнала могут отображаться в /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Причина

Эта ошибка может возникнуть по одной или нескольким из следующих причин:

  1. Неправильный тип сертификата

    • Для Cloud Tier: Сертификат должен быть сертификатом ЦС, а не сертификатом конечной точки.
    • Для пользовательского интерфейса DD: Сертификат должен быть сертификатом хоста/сервера без несоответствующих расширений.

  2. Неправильная генерация ключа

    • Иногда закрытый ключ, используемый для создания сертификата (например, в ECS для балансировщика нагрузки F5), был создан неправильно.

  3. Несоответствие КСО

    • Некоторые центры сертификации (CA) могут игнорировать запрошенные расширения в CSR и возвращать сертификат с несовместимыми расширениями x509 v3.

Разрешение

Для интеграции Cloud Tier (CT) с ECS с помощью балансировщика нагрузки F5

См.: Руководство по администрированию ECS

  1. Создать закрытый ключ в ECS

    • Войдите в узел ECS или подключенную систему.
    • Выполните:
      • openssl genrsa -des3 -out server.key 2048
    • Введите и подтвердите парольную фразу.
    • Удалите парольную фразу перед загрузкой ключа на сервер ECS.
    • Установите разрешения:
      • chmod 0400 server.key
  2. Создание сертификата нажатием F5 с помощью ключа ECS
    • Выполните действия, описанные в соответствующем руководстве по интеграции Dell EMC ECS с помощью клавиши F5 .

  3. Импорт сертификата в Data Domain

    Примечание. Убедитесь, что импортируемый сертификат является сертификатом ЦС , подписавшим сертификат конечной точки, а не сам сертификат конечной точки.

    Для пользовательского интерфейса DD (доступ через HTTPS):

    1. Создайте CSR из Data Domain

      • Используйте встроенные инструменты DD для создания CSR.
      • Отправьте CSR в ИС для подписания.

    2. Импортируйте подписанный сертификат в DD

      • Убедитесь, что возвращенный сертификат имеет соответствующие расширения (т. е. сервер или ни одного).

    3. Поиск и устранение неполадок

      • Если импорт завершится сбоем, проверьте сертификат с помощью:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Проверьте расширения x509 v3 на совместимость.

    Совет: Закрытый ключ никогда не покидает DD при использовании метода CSR, что обеспечивает безопасную обработку. 

    Дополнительная информация

    Примеры проверок сертификатов

    Распространенной причиной ошибки «Invalid CA certificate x509 v3 extension» является импорт сертификата, который не является корневым CA или в котором отсутствуют правильные расширения x509.

    Пример: Неверный сертификат конечной точки:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Этот сертификат предназначен для веб-сервера, а не для центра сертификации. Его нельзя использовать в качестве доверенного сертификата в DD для Cloud Tier.

    Правильный промежуточный сертификат CA:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Это сертификат CA, но он не самозаверяющий. Он подписан корневым источником сертификатов.

    Правильный сертификат корневого источника сертификатов:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Этот самозаверяющий корневой сертификат CA следует импортировать в DD.
        • При необходимости можно также импортировать промежуточные сертификаты центра сертификации, но для проверки доверия, как правило, требуется корневой источник сертификатов.

    Пример: Неправильные расширения сертификатов пользовательского интерфейса:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Этот сертификат помечен для проверки подлинности клиента и защиты электронной почты и не подходит для доступа по протоколу HTTPS к пользовательскому интерфейсу DD.

      Рекомендуемое поколение CSR для пользовательского интерфейса DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Убедитесь, что CA учитывает запрошенные расширения при подписании сертификата.

    Затронутые продукты

    Data Domain

    Продукты

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    Свойства статьи
    Номер статьи: 000068703
    Тип статьи: Solution
    Последнее изменение: 07 Nov 2025
    Версия:  5
    Получите ответы на свои вопросы от других пользователей Dell
    Услуги технической поддержки
    Проверьте, распространяются ли на ваше устройство услуги технической поддержки.