Data Domain: Import af SSL-certifikat mislykkes med "Ugyldig x509 v3-udvidelse" til Cloud Tier eller brugergrænseflade

摘要: Når du importerer et SSL-certifikat til Data Domain Cloud Tier (CT) eller DD-brugergrænsefladen, kan der opstå en fejl, der angiver et ugyldigt x509 v3-filtypenavn. Denne KB forklarer årsagen og indeholder løsningstrin for begge scenarier. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Under SSL-konfiguration for:

  • Cloud Tier-integration (f.eks. med ECS ved hjælp af HTTPS), eller
  • adgang til DD UI ved hjælp af et eksternt signeret certifikat,

Følgende fejl kan opstå:

Invalid CA certificate x509 v3 extension

Yderligere logposter kan blive vist i /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Denne fejl kan opstå af en eller flere af følgende årsager:

  1. Forkert certifikattype

    • For Cloud Tier: Certifikatet skal være et CA-certifikat, ikke et slutpunktscertifikat.
    • For DD-brugergrænseflade: Certifikatet skal være et værts-/servercertifikat uden upassende udvidelser.

  2. Forkert nøglegenerering

    • Nogle gange blev den private nøgle, der blev brugt til at generere certifikatet (f.eks. på ECS for en F5 Load Balancer), oprettet forkert.

  3. CSR-uoverensstemmelse

    • Nogle nøglecentre ignorerer muligvis de ønskede udvidelser i CSR'en og returnerer et certifikat med inkompatible x509 v3-udvidelser.

解决方案

Til Cloud Tier-integration (CT) med ECS ved hjælp af F5 Load Balancer:

Reference: ECS-administrationsvejledning

  1. Generer privat nøgle på ECS

    • Log på en ECS-node eller et tilsluttet system.
    • Kør:
      • openssl genrsa -des3 -out server.key 2048
    • Indtast og bekræft en adgangssætning.
    • Fjern adgangssætningen, før du uploader nøglen til ECS.
    • Angiv tilladelser:
      • chmod 0400 server.key
  2. Generer certifikat på F5 ved hjælp af ECS-nøglen
    • Følg trinnene i den relevante Dell EMC ECS med F5-integrationsvejledning .

  3. Importér certifikat til Data Domain

    Bemærk: Sørg for, at det certifikat, der importeres, er CA-certifikatet , der signerede slutpunktscertifikatet, ikke selve slutpunktscertifikatet.

    For DD UI (HTTPS-adgang):

    1. Generer CSR fra Data Domain

      • Brug DD's indbyggede værktøjer til at generere CSR.
      • Indsend CSR'en til dit nøglecenter til underskrift.

    2. Importer det signerede certifikat til DD

      • Sørg for, at det returnerede certifikat har de relevante lokalnumre (dvs. server eller ingen).

    3. Fejlfinding

      • Hvis importen mislykkes, skal du inspicere certifikatet ved hjælp af:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Gennemgå x509 v3-udvidelserne for kompatibilitet.

    Drikkepenge: Den private nøgle forlader aldrig DD, når CSR-metoden bruges, hvilket sikrer sikker håndtering. 

    其他信息

    Eksempler på certifikatvalidering

    En almindelig årsag til fejlen "Ugyldigt CA-certifikat x509 v3-udvidelse" er at importere et certifikat, der ikke er et rodnøglecenter eller mangler de korrekte x509-udvidelser.

    Eksempel: Forkert slutpunktscertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dette certifikat er til en webserver, ikke et nøglecenter. Det kan ikke bruges som et pålideligt certifikat i DD til Cloud Tier.

    Korrekt mellemliggende CA-certifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dette er et CA-certifikat, men det er ikke selvsigneret. Det er signeret af rodnøglecenteret.

    Korrekt rodnøglecentercertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dette selvsignerede CA-rodcertifikat er det korrekte at importere til DD.
        • Du kan også importere mellemliggende CA-certifikater, hvis det er nødvendigt, men rodnøglecenteret er typisk påkrævet til validering af tillid.

    Eksempel: Forkerte UI-certifikatudvidelser:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dette certifikat er markeret til klientgodkendelse og e-mailbeskyttelse – ikke egnet til DD UI HTTPS-adgang.

      Anbefalet CSR-generering til DD-brugergrænseflade:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Sørg for, at nøglecenteret respekterer de ønskede udvidelser, når certifikatet underskrives.

    受影响的产品

    Data Domain

    产品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章属性
    文章编号: 000068703
    文章类型: Solution
    上次修改时间: 07 11月 2025
    版本:  5
    从其他戴尔用户那里查找问题的答案
    支持服务
    检查您的设备是否在支持服务涵盖的范围内。