Data Domain: Import certifikátu SSL selže s chybou "Invalid x509 v3 Extension" pro vrstvu Cloud Tier nebo uživatelské rozhraní

摘要: Při importu certifikátu SSL pro Data Domain Cloud Tier (CT) nebo uživatelského rozhraní DD může dojít k chybě označující neplatnou příponu x509 v3. Tento článek znalostní databáze vysvětluje příčinu a poskytuje kroky řešení pro oba scénáře. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Během konfigurace protokolu SSL pro:

  • Integrace vrstvy Cloud Tier (například se systémem ECS používajícím protokol HTTPS) nebo
  • Přístup k uživatelskému rozhraní DD pomocí externě podepsaného certifikátu,

Může dojít k následující chybě:

Invalid CA certificate x509 v3 extension

Další položky protokolu se mohou zobrazit v části /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

K této chybě může dojít z jednoho nebo více z následujících důvodů:

  1. Nesprávný typ certifikátu

    • Pro cloudovou vrstvu: Certifikát musí být certifikátem certifikační autority, nikoli certifikátem koncového bodu.
    • Pro uživatelské rozhraní DD: Certifikát musí být certifikát hostitele/serveru bez nevhodných přípon.

  2. Nesprávné generování klíče

    • Někdy byl soukromý klíč použitý k vygenerování certifikátu (například v systému ECS pro nástroj F5 Load Balancer) nesprávně vytvořen.

  3. Nesoulad CSR

    • Některé certifikační autority (CA) mohou ignorovat požadovaná rozšíření v CSR a vrátit certifikát s nekompatibilními rozšířeními x509 v3.

解析度

Pro integraci vrstvy Cloud Tier (CT) se systémem ECS pomocí nástroje F5 Load Balancer:

Odkazy: Průvodce správou ECS

  1. Vygenerovat soukromý klíč v systému ECS

    • Přihlaste se k uzlu ECS nebo k připojenému systému.
    • Spusťte příkaz:
      • openssl genrsa -des3 -out server.key 2048
    • Zadejte a potvrďte přístupové heslo.
    • Před odesláním klíče do systému ECS heslo odeberte.
    • Nastavení oprávnění:
      • chmod 0400 server.key
  2. Vygenerování certifikátu v systému F5 pomocí klíče ECS
    • Postupujte podle kroků v příslušném průvodci integrací Dell EMC ECS s F5 .

  3. Import certifikátu do systému Data Domain

    Poznámka: Ujistěte se, že importovaný certifikát je certifikát certifikační autority , který podepsal certifikát koncového bodu, nikoli samotný certifikát koncového bodu.

    Pro uživatelské rozhraní DD (přístup HTTPS):

    1. Vygenerování CSR ze systému Data Domain

      • K vygenerování CSR použijte vestavěné nástroje DD.
      • Odešlete CSR své certifikační autoritě k podepsání.

    2. Import podepsaného certifikátu do systému DD

      • Ujistěte se, že vrácený certifikát má příslušné přípony (tj. server nebo žádné).

    3. Odstraňování problémů

      • Pokud se import nezdaří, zkontrolujte certifikát pomocí:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Zkontrolujte kompatibilitu rozšíření x509 v3.

    Tip: Soukromý klíč při použití metody CSR nikdy neopustí systém DD, což zajišťuje bezpečné zpracování. 

    其他資訊

    Příklady ověření certifikátu

    Běžným důvodem chyby "Neplatná přípona certifikátu certifikační autority x509 v3" je import certifikátu, který není kořenovou certifikační autoritou nebo nemá správné přípony x509.

    Příklad: Nesprávný certifikát koncového bodu:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Tento certifikát je určen pro webový server, nikoli pro certifikační autoritu. Nelze jej použít jako důvěryhodný certifikát v systému DD pro vrstvu Cloud Tier.

    Správný certifikát zprostředkující certifikační autority:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Jedná se o certifikát certifikační autority, ale není podepsaný držitelem. Je podepsán kořenovou certifikační autoritou.

    Správný certifikát kořenové certifikační autority:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Tento certifikát kořenové certifikační autority podepsaný držitelem je správný pro import do systému DD.
        • V případě potřeby lze také importovat certifikáty zprostředkující certifikační autority, ale k ověření důvěryhodnosti je obvykle vyžadována kořenová certifikační autorita.

    Příklad: Nesprávné přípony certifikátů uživatelského rozhraní:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Tento certifikát je označen pro ověřování klientů a ochranu e-mailu – není vhodný pro přístup HTTPS v uživatelském rozhraní DD.

      Doporučené generování CSR pro uživatelské rozhraní DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Ujistěte se, že certifikační autorita při podepisování certifikátu respektuje požadovaná rozšíření.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。