Data Domain: SSL-varmenteen tuonti epäonnistuu ja näyttöön tulee "Invalid x509 v3 Extension" pilvitasolle tai käyttöliittymään

摘要: Kun tuodaan Data Domain Cloud Tier (CT) -tason tai DD-käyttöliittymän SSL-varmenne, saattaa ilmetä virhe, joka viittaa virheelliseen x509 v3 -laajennukseen. Tässä tietämyskannan artikkelissa selitetään molempien skenaarioiden syy ja esitetään ratkaisuvaiheet. ...

本文适用于本文不适用于本文并非针对某种特定的产品。本文并非包含所有产品版本。

症状

SSL-määrityksen aikana:

Cloud Tier -integrointi (kuten ECS:n käyttäminen HTTPS:n avulla) tai
DD-käyttöliittymän käyttö ulkoisesti allekirjoitetulla varmenteella,

Näyttöön saattaa tulla seuraava virhe:

Invalid CA certificate x509 v3 extension

Muita lokimerkintöjä voi näkyä kohdassa /ddr/var/log/messages.engineering

sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Tämä virhe voi johtua yhdestä tai useammasta seuraavista syistä:

Virheellinen varmennetyyppi
- Pilvitaso: Varmenteen on oltava CA-varmenne, ei päätepistevarmenne.
- DD-käyttöliittymä: Varmenteen on oltava isäntä/palvelinvarmenne ilman sopimattomia laajennuksia.
Virheellinen avainten luonti
- Joskus varmenteen luontiin käytetty yksityinen avain (kuten ECS:ssä F5-kuormituksentasaajalle) on luotu virheellisesti.
CSR-ristiriita
- Jotkin varmenteiden myöntäjät saattavat ohittaa pyydetyt laajennukset CSR:ssä ja palauttaa varmenteen, jossa on yhteensopimattomia x509 v3 -laajennuksia.

解决方案

Cloud Tier (CT) -integrointi ECS:ään F5-kuormituksentasauksen avulla:

Viite: ECS:n hallintaopas

Luo yksityinen avain ECS:ssä
- Kirjaudu ECS-solmuun tai yhdistettyyn järjestelmään.
- Suorita:
  - openssl genrsa -des3 -out server.key 2048
- Anna ja vahvista tunnuslause.
- Poista salasana, ennen kuin lataat avaimen ECS:ään.
- Aseta käyttöoikeudet:
  - chmod 0400 server.key
Luo varmenne F5-näppäimellä ECS-näppäimellä
- Noudata asiaankuuluvan Dell EMC ECS with F5 -integrointioppaan ohjeita.
Varmenteen tuominen Data Domainiin
- Katso tietämyskannan artikkelista Varmenteiden lisääminen Data Domainiin käytettäväksi pitkäaikaisen palautuksen (LTR) kanssa pilvessä.

Huomautus: Varmista, että tuotava varmenne on päätepisteen varmenteen allekirjoittanut CA-varmenne , ei itse päätepistevarmenne.

DD-käyttöliittymä (https-käyttö):

Luo CSR Data Domainista
- Käytä DD:n sisäänrakennettuja työkaluja CSR:n luomiseen.
- Lähetä CSR varmentajallesi allekirjoitettavaksi.
Allekirjoitetun varmenteen tuominen DD:hen
- Varmista, että palautetulla varmenteella on asianmukaiset laajennukset (eli palvelin tai ei mitään).
Vianmääritys
- Jos tuonti epäonnistuu, tarkista varmenne käyttämällä:
  - openssl x509 -in /path/to/certificate.pem -text -noout
- Tarkista x509 v3 -laajennusten yhteensopivuus.

Vihje: Yksityinen avain ei koskaan poistu DD:stä CSR-menetelmää käytettäessä, mikä varmistaa turvallisen käsittelyn.

其他信息

Esimerkkejä varmenteiden validoinnista

Yleinen syy virheeseen "Virheellinen CA-varmenne x509 v3 laajennus" on sellaisen varmenteen tuominen, joka ei ole päävarmenteiden myöntäjä tai josta puuttuu oikeat x509-laajennukset.

Esimerkki: Virheellinen päätepisteen varmenne:

- ```
Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
```
- Tämä varmenne koskee verkkopalvelinta, ei varmenteiden myöntäjää. Sitä ei voi käyttää luotettuna varmenteena DD Cloud Tierissä.

Oikea CA-välitodistus:

Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0

Tämä on CA-varmenne, mutta sitä ei ole itse allekirjoitettu. Sen allekirjoittaa juuri CA.

Oikea CA-päävarmenne:

- ```
Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
```
- Tämä itse allekirjoitettu CA-päävarmenne on oikea tuotavaksi DD:hen.
  - Voit myös tuoda CA-välivarmenteita tarvittaessa, mutta luottamuksen vahvistus edellyttää yleensä päävarmenteiden myöntäjää.

Esimerkki: Virheelliset käyttöliittymävarmenteiden laajennukset:

X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

Tämä varmenne on merkitty asiakkaan todennusta ja sähköpostin suojausta varten - ei sovellu DD UI HTTPS -käyttöön.

Suositeltu CSR-luonti DD-käyttöliittymälle:

adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE

Varmista varmenteen allekirjoittamisen yhteydessä, että varmentaja noudattaa pyydettyjä laajennuksia.

受影响的产品

Data Domain

产品

Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage

文章编号: 000068703

文章类型: Solution

上次修改时间: 07 11月 2025

版本: 5

Data Domain: SSL-varmenteen tuonti epäonnistuu ja näyttöön tulee "Invalid x509 v3 Extension" pilvitasolle tai käyttöliittymään

摘要: Kun tuodaan Data Domain Cloud Tier (CT) -tason tai DD-käyttöliittymän SSL-varmenne, saattaa ilmetä virhe, joka viittaa virheelliseen x509 v3 -laajennukseen. Tässä tietämyskannan artikkelissa selitetään molempien skenaarioiden syy ja esitetään ratkaisuvaiheet. ...

症状

原因

解决方案

Cloud Tier (CT) -integrointi ECS:ään F5-kuormituksentasauksen avulla:

DD-käyttöliittymä (https-käyttö):

其他信息

Esimerkkejä varmenteiden validoinnista

Esimerkki: Virheellinen päätepisteen varmenne:

Suositeltu CSR-luonti DD-käyttöliittymälle:

受影响的产品

产品

文章属性

从其他戴尔用户那里查找问题的答案

支持服务

文章属性

从其他戴尔用户那里查找问题的答案

支持服务

Data Domain: SSL-varmenteen tuonti epäonnistuu ja näyttöön tulee "Invalid x509 v3 Extension" pilvitasolle tai käyttöliittymään

详细文章

症状

原因

解决方案

其它信息

受影响的产品

症状

原因

解决方案

Cloud Tier (CT) -integrointi ECS:ään F5-kuormituksentasauksen avulla:

DD-käyttöliittymä (https-käyttö):

其他信息

Esimerkkejä varmenteiden validoinnista

Esimerkki: Virheellinen päätepisteen varmenne:

Suositeltu CSR-luonti DD-käyttöliittymälle:

受影响的产品

产品

文章属性

从其他戴尔用户那里查找问题的答案

支持服务

文章属性

从其他戴尔用户那里查找问题的答案

支持服务