Data Domain: Import af SSL-certifikat mislykkes med "Ugyldig x509 v3-udvidelse" til Cloud Tier eller brugergrænseflade

摘要: Når du importerer et SSL-certifikat til Data Domain Cloud Tier (CT) eller DD-brugergrænsefladen, kan der opstå en fejl, der angiver et ugyldigt x509 v3-filtypenavn. Denne KB forklarer årsagen og indeholder løsningstrin for begge scenarier. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Under SSL-konfiguration for:

  • Cloud Tier-integration (f.eks. med ECS ved hjælp af HTTPS), eller
  • adgang til DD UI ved hjælp af et eksternt signeret certifikat,

Følgende fejl kan opstå:

Invalid CA certificate x509 v3 extension

Yderligere logposter kan blive vist i /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Denne fejl kan opstå af en eller flere af følgende årsager:

  1. Forkert certifikattype

    • For Cloud Tier: Certifikatet skal være et CA-certifikat, ikke et slutpunktscertifikat.
    • For DD-brugergrænseflade: Certifikatet skal være et værts-/servercertifikat uden upassende udvidelser.

  2. Forkert nøglegenerering

    • Nogle gange blev den private nøgle, der blev brugt til at generere certifikatet (f.eks. på ECS for en F5 Load Balancer), oprettet forkert.

  3. CSR-uoverensstemmelse

    • Nogle nøglecentre ignorerer muligvis de ønskede udvidelser i CSR'en og returnerer et certifikat med inkompatible x509 v3-udvidelser.

解析度

Til Cloud Tier-integration (CT) med ECS ved hjælp af F5 Load Balancer:

Reference: ECS-administrationsvejledning

  1. Generer privat nøgle på ECS

    • Log på en ECS-node eller et tilsluttet system.
    • Kør:
      • openssl genrsa -des3 -out server.key 2048
    • Indtast og bekræft en adgangssætning.
    • Fjern adgangssætningen, før du uploader nøglen til ECS.
    • Angiv tilladelser:
      • chmod 0400 server.key
  2. Generer certifikat på F5 ved hjælp af ECS-nøglen
    • Følg trinnene i den relevante Dell EMC ECS med F5-integrationsvejledning .

  3. Importér certifikat til Data Domain

    Bemærk: Sørg for, at det certifikat, der importeres, er CA-certifikatet , der signerede slutpunktscertifikatet, ikke selve slutpunktscertifikatet.

    For DD UI (HTTPS-adgang):

    1. Generer CSR fra Data Domain

      • Brug DD's indbyggede værktøjer til at generere CSR.
      • Indsend CSR'en til dit nøglecenter til underskrift.

    2. Importer det signerede certifikat til DD

      • Sørg for, at det returnerede certifikat har de relevante lokalnumre (dvs. server eller ingen).

    3. Fejlfinding

      • Hvis importen mislykkes, skal du inspicere certifikatet ved hjælp af:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Gennemgå x509 v3-udvidelserne for kompatibilitet.

    Drikkepenge: Den private nøgle forlader aldrig DD, når CSR-metoden bruges, hvilket sikrer sikker håndtering. 

    其他資訊

    Eksempler på certifikatvalidering

    En almindelig årsag til fejlen "Ugyldigt CA-certifikat x509 v3-udvidelse" er at importere et certifikat, der ikke er et rodnøglecenter eller mangler de korrekte x509-udvidelser.

    Eksempel: Forkert slutpunktscertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dette certifikat er til en webserver, ikke et nøglecenter. Det kan ikke bruges som et pålideligt certifikat i DD til Cloud Tier.

    Korrekt mellemliggende CA-certifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dette er et CA-certifikat, men det er ikke selvsigneret. Det er signeret af rodnøglecenteret.

    Korrekt rodnøglecentercertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dette selvsignerede CA-rodcertifikat er det korrekte at importere til DD.
        • Du kan også importere mellemliggende CA-certifikater, hvis det er nødvendigt, men rodnøglecenteret er typisk påkrævet til validering af tillid.

    Eksempel: Forkerte UI-certifikatudvidelser:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dette certifikat er markeret til klientgodkendelse og e-mailbeskyttelse – ikke egnet til DD UI HTTPS-adgang.

      Anbefalet CSR-generering til DD-brugergrænseflade:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Sørg for, at nøglecenteret respekterer de ønskede udvidelser, når certifikatet underskrives.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。