Data Domain: Import des SSL-Zertifikats schlägt mit "Invalid x509 v3 Extension" für Cloud Tier oder UI fehl

摘要: Beim Importieren eines SSL-Zertifikats für Data Domain Cloud Tier (CT) oder die DD-Benutzeroberfläche kann ein Fehler auftreten, der auf eine ungültige x509 v3-Erweiterung hinweist. In diesem Wissensdatenbank-Artikel werden die Ursache erläutert und Lösungsschritte für beide Szenarien bereitgestellt. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Während der SSL-Konfiguration für:

  • Cloud-Tier-Integration (z. B. mit ECS über HTTPS) oder
  • DD-UI-Zugriff über ein extern signiertes Zertifikat,

Möglicherweise tritt der folgende Fehler auf:

Invalid CA certificate x509 v3 extension

Zusätzliche Protokolleinträge können angezeigt werden in /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Dieser Fehler kann aus einem oder mehreren der folgenden Gründe auftreten:

  1. Falscher Zertifikattyp

    • Für Cloud Tier: Das Zertifikat muss ein CA-Zertifikat sein, kein Endpunktzertifikat.
    • Für die DD-Benutzeroberfläche: Das Zertifikat muss ein Host-/Serverzertifikat ohne ungeeignete Erweiterungen sein.

  2. Unsachgemäße Schlüsselerzeugung

    • Manchmal wurde der private Schlüssel, der zum Erzeugen des Zertifikats verwendet wird (z. B. auf ECS für einen F5 Load Balancer), falsch erstellt.

  3. Nicht übereinstimmende CSR

    • Einige Zertifizierungsstellen (CAs) ignorieren möglicherweise die angeforderten Erweiterungen in der CSR und geben ein Zertifikat mit inkompatiblen x509 v3-Erweiterungen zurück.

解析度

Für die Cloud Tier (CT)-Integration in ECS mit F5 Load Balancer:

Referenz: ECS-Administrationshandbuch

  1. Generieren eines privaten Schlüssels auf ECS

    • Melden Sie sich bei einem ECS-Node oder einem verbundenen System an.
    • Führen Sie folgenden Befehl aus:
      • openssl genrsa -des3 -out server.key 2048
    • Geben Sie eine Passphrase ein und bestätigen Sie sie.
    • Entfernen Sie die Passphrase, bevor Sie den Schlüssel in ECS hochladen.
    • Berechtigungen festlegen:
      • chmod 0400 server.key
  2. Erzeugen eines Zertifikats auf F5 mithilfe des ECS-Schlüssels
    • Befolgen Sie die Schritte im entsprechenden Dell EMC ECS mit F5-Integrationshandbuch .

  3. Zertifikat in Data Domain importieren

    Hinweis: Stellen Sie sicher, dass das zu importierende Zertifikat das CA-Zertifikat ist, das das Endpunktzertifikat signiert hat, und nicht das Endpunktzertifikat selbst.

    Für DD UI (HTTPS-Zugriff):

    1. CSR aus Data Domain generieren

      • Verwenden Sie die integrierten Tools von DD, um die CSR zu erzeugen.
      • Senden Sie die CSR zur Signierung an Ihre Zertifizierungsstelle.

    2. Importieren des signierten Zertifikats in DD

      • Stellen Sie sicher, dass das zurückgegebene Zertifikat über die entsprechenden Erweiterungen verfügt (d. h. Server oder keine).

    3. Troubleshooting

      • Wenn der Import fehlschlägt, überprüfen Sie das Zertifikat wie folgt:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Überprüfen Sie die x509 v3-Erweiterungen auf Kompatibilität.

    Tipp: Der private Schlüssel verlässt die DD nie, wenn die CSR-Methode verwendet wird, wodurch eine sichere Verarbeitung gewährleistet wird. 

    其他資訊

    Beispiele für die Zertifikatvalidierung

    Ein häufiger Grund für den Fehler "Ungültiges CA-Zertifikat x509 v3-Erweiterung" ist das Importieren eines Zertifikats, das keine Stammzertifizierungsstelle ist oder nicht über die richtigen x509-Erweiterungen verfügt.

    Beispiel: Falsches Endpunktzertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dieses Zertifikat ist für einen Webserver, nicht für eine Zertifizierungsstelle bestimmt. Es kann nicht als vertrauenswürdiges Zertifikat in DD for Cloud Tier verwendet werden.

    Richtiges CA-Zwischenzertifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dies ist ein CA-Zertifikat, das jedoch nicht selbstsigniert ist. Es wird von der Stammzertifizierungsstelle signiert.

    Richtiges Stammzertifizierungsstellenzertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dieses selbstsignierte Stamm-CA-Zertifikat ist das richtige für den Import in DD.
        • Sie können bei Bedarf auch Zertifikate der Zwischenzertifizierungsstelle importieren, aber in der Regel ist die Stammzertifizierungsstelle für die Vertrauensprüfung erforderlich.

    Beispiel: Falsche UI-Zertifikaterweiterungen:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dieses Zertifikat ist für Clientauthentifizierung und E-Mail-Schutz markiert – nicht geeignet für den HTTPS-Zugriff auf die DD-Benutzeroberfläche.

      Empfohlene CSR-Generierung für die DD-Benutzeroberfläche:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Stellen Sie sicher, dass die Zertifizierungsstelle beim Signieren des Zertifikats die angeforderten Erweiterungen berücksichtigt.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。