Data Domain: La importación del certificado SSL falla con el mensaje "Invalid x509 v3 Extension" para el nivel de nube o la interfaz de usuario

摘要: Cuando se importa un certificado SSL para Data Domain Cloud Tier (CT) o la interfaz de usuario de DD, puede ocurrir un error que indica una extensión x509 v3 no válida. En este artículo de la base de conocimientos, se explica la causa y se proporcionan los pasos de resolución para ambos escenarios. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Durante la configuración de SSL para:

  • Integración de nivel de nube (por ejemplo, con ECS mediante HTTPS) o
  • Acceso a la interfaz de usuario de DD mediante un certificado firmado externamente,

Es posible que se produzca el siguiente error:

Invalid CA certificate x509 v3 extension

Es posible que aparezcan entradas de registro adicionales en /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Este error puede ocurrir debido a una o más de las siguientes razones:

  1. Tipo de certificado incorrecto

    • Para Cloud Tier: El certificado debe ser un certificado de CA, no un certificado de extremo.
    • Para la interfaz de usuario de DD: El certificado debe ser un certificado de host/servidor sin extensiones inapropiadas.

  2. Generación incorrecta de claves

    • En ocasiones, la clave privada utilizada para generar el certificado (por ejemplo, en ECS para un balanceador de carga F5) se creaba incorrectamente.

  3. Discrepancia de CSR

    • Algunas autoridades de certificación (CA) pueden ignorar las extensiones solicitadas en la CSR y devolver un certificado con extensiones x509 v3 incompatibles.

解析度

Para la integración de Cloud Tier (CT) con ECS mediante F5 Load Balancer:

Referencia: Guía de administración de ECS

  1. Generar clave privada en ECS

    • Inicie sesión en un nodo de ECS o en un sistema conectado.
    • Ejecute lo siguiente:
      • openssl genrsa -des3 -out server.key 2048
    • Ingrese y confirme una frase de contraseña.
    • Elimine la frase de contraseña antes de cargar la clave en ECS.
    • Configure los permisos:
      • chmod 0400 server.key
  2. Generar certificado en F5 mediante la clave de ECS
    • Siga los pasos que se indican en la guía de integración de Dell EMC ECS con F5 correspondiente.

  3. Importar certificado a Data Domain

    Nota: Asegúrese de que el certificado que se importe sea el certificado de CA que firmó el certificado del extremo, no el propio certificado del extremo.

    Para la interfaz de usuario de DD (acceso HTTPS):

    1. Generar CSR desde Data Domain

      • Utilice las herramientas integradas de DD para generar la CSR.
      • Envíe la CSR a su CA para su firma.

    2. Importar el certificado firmado a DD

      • Asegúrese de que el certificado devuelto tenga las extensiones adecuadas (es decir, servidor o ninguna).

    3. Solución de problemas

      • Si la importación falla, inspeccione el certificado mediante lo siguiente:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Revise las extensiones de x509 v3 para conocer la compatibilidad.

    Sugerencia: La clave privada nunca sale de DD cuando se utiliza el método CSR, lo que garantiza un manejo seguro. 

    其他資訊

    Ejemplos de validación de certificados

    Una razón común para el error "Invalid CA certificate x509 v3 extension" es la importación de un certificado que no es una CA raíz o que carece de las extensiones x509 correctas.

    Ejemplo: Certificado de terminal incorrecto:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Este certificado es para un servidor web, no para una CA. No se puede utilizar como un certificado de confianza en DD para Cloud Tier.

    Certificado de CA intermedio correcto:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Este es un certificado de CA, pero no está autofirmado. Está firmado por la CA raíz.

    Certificado de CA raíz correcto:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Este certificado de CA raíz autofirmado es el correcto para importar a DD.
        • También puede importar certificados de CA intermedios si es necesario, pero, por lo general, se requiere la CA raíz para la validación de la confianza.

    Ejemplo: Extensiones de certificado de IU incorrectas:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Este certificado está marcado para la autenticación del cliente y la protección de correo electrónico; no es adecuado para el acceso HTTPS a la interfaz de usuario de DD.

      Generación de CSR recomendada para la interfaz de usuario de DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Asegúrese de que la CA respete las extensiones solicitadas al firmar el certificado.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。