Data Domain: Import certyfikatu SSL kończy się niepowodzeniem z komunikatem "Invalid x509 v3 Extension" dla warstwy chmury lub interfejsu użytkownika

摘要: Podczas importowania certyfikatu SSL dla warstwy chmury Data Domain (CT) lub interfejsu użytkownika DD może wystąpić błąd wskazujący na nieprawidłowe rozszerzenie x509 v3. Ten artykuł bazy wiedzy wyjaśnia przyczynę i zawiera kroki rozwiązywania dla obu scenariuszy. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Podczas konfiguracji SSL dla:

  • Integracja z warstwą chmury (np. z ECS przy użyciu protokołu HTTPS) lub
  • dostęp do interfejsu użytkownika DD przy użyciu certyfikatu podpisanego zewnętrznie,

Może wystąpić następujący błąd:

Invalid CA certificate x509 v3 extension

Dodatkowe wpisy dziennika mogą pojawić się w /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Ten błąd może wystąpić z co najmniej jednej z następujących przyczyn:

  1. Nieprawidłowy typ certyfikatu

    • W przypadku warstwy chmury: Certyfikat musi być certyfikatem CA, a nie certyfikatem punktu końcowego.
    • W przypadku interfejsu użytkownika DD: Certyfikat musi być certyfikatem hosta/serwera bez nieodpowiednich rozszerzeń.

  2. Nieprawidłowe generowanie kluczy

    • Czasami klucz prywatny używany do generowania certyfikatu (na przykład w ECS dla Load Balancer F5) został niepoprawnie utworzony.

  3. Niezgodność CSR

    • Niektóre urzędy certyfikacji (CA) mogą zignorować żądane rozszerzenia w CSR i zwrócić certyfikat z niezgodnymi rozszerzeniami x509 v3.

解决方案

W przypadku integracji warstwy chmury (CT) z ECS przy użyciu modułu równoważenia obciążenia F5:

Źródło: Podręcznik administracyjny ECS

  1. Wygeneruj klucz prywatny w ECS

    • Zaloguj się do węzła ECS lub połączonego systemu.
    • Uruchom:
      • openssl genrsa -des3 -out server.key 2048
    • Wprowadź i potwierdź hasło.
    • Usuń hasło przed przesłaniem klucza do ECS.
    • Ustaw uprawnienia:
      • chmod 0400 server.key
  2. Wygeneruj certyfikat pod F5 przy użyciu klucza ECS
    • Wykonaj czynności opisane w odpowiednim przewodniku integracji Dell EMC ECS z F5 .

  3. Importowanie certyfikatu do Data Domain

    Uwaga: Upewnij się, że importowany certyfikat jest certyfikatem CA , który podpisał certyfikat punktu końcowego, a nie samym certyfikatem punktu końcowego.

    W przypadku interfejsu użytkownika DD (dostęp HTTPS):

    1. Generowanie CSR z Data Domain

      • Użyj wbudowanych narzędzi DD, aby wygenerować CSR.
      • Prześlij CSR do CA w celu podpisania.

    2. Zaimportuj podpisany certyfikat do DD

      • Upewnij się, że zwrócony certyfikat ma odpowiednie rozszerzenia (tzn. serwer lub brak).

    3. Rozwiązywanie problemów

      • Jeśli import nie powiedzie się, sprawdź certyfikat przy użyciu:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Sprawdź zgodność rozszerzeń x509 v3.

    Wskazówka: Klucz prywatny nigdy nie opuszcza DD podczas korzystania z metody CSR, zapewniając bezpieczną obsługę. 

    其他信息

    Przykłady weryfikacji certyfikatów

    Częstą przyczyną błędu "Invalid CA certificate x509 v3 extension" jest importowanie certyfikatu, który nie jest głównym urzędem certyfikacji lub nie ma poprawnych rozszerzeń x509.

    Przykład: Nieprawidłowy certyfikat punktu końcowego:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Ten certyfikat jest przeznaczony dla serwera WWW, a nie dla urzędu certyfikacji. Nie można go używać jako zaufanego certyfikatu w DD dla warstwy chmury.

    Prawidłowy pośredni certyfikat urzędu certyfikacji:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Jest to certyfikat urzędu certyfikacji, ale nie ma podpisu własnego. Jest on podpisany przez główną instytucję certyfikującą.

    Prawidłowy certyfikat głównego urzędu certyfikacji:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Ten certyfikat głównego urzędu certyfikacji z podpisem własnym jest prawidłowy do zaimportowania do DD.
        • W razie potrzeby można również zaimportować pośrednie certyfikaty urzędu certyfikacji, ale główny urząd certyfikacji jest zwykle wymagany do weryfikacji zaufania.

    Przykład: Nieprawidłowe rozszerzenia certyfikatów interfejsu użytkownika:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Ten certyfikat jest oznaczony do uwierzytelniania klienta i ochrony poczty e-mail — nie nadaje się do dostępu DD UI HTTPS.

      Zalecane generowanie CSR dla interfejsu użytkownika DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Upewnij się, że urząd certyfikacji honoruje żądane rozszerzenia podczas podpisywania certyfikatu.

    受影响的产品

    Data Domain

    产品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章属性
    文章编号: 000068703
    文章类型: Solution
    上次修改时间: 07 11月 2025
    版本:  5
    从其他戴尔用户那里查找问题的答案
    支持服务
    检查您的设备是否在支持服务涵盖的范围内。