Data Domain: SSL-varmenteen tuonti epäonnistuu ja näyttöön tulee "Invalid x509 v3 Extension" pilvitasolle tai käyttöliittymään

摘要: Kun tuodaan Data Domain Cloud Tier (CT) -tason tai DD-käyttöliittymän SSL-varmenne, saattaa ilmetä virhe, joka viittaa virheelliseen x509 v3 -laajennukseen. Tässä tietämyskannan artikkelissa selitetään molempien skenaarioiden syy ja esitetään ratkaisuvaiheet. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

SSL-määrityksen aikana:

  • Cloud Tier -integrointi (kuten ECS:n käyttäminen HTTPS:n avulla) tai
  • DD-käyttöliittymän käyttö ulkoisesti allekirjoitetulla varmenteella,

Näyttöön saattaa tulla seuraava virhe:

Invalid CA certificate x509 v3 extension

Muita lokimerkintöjä voi näkyä kohdassa /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Tämä virhe voi johtua yhdestä tai useammasta seuraavista syistä:

  1. Virheellinen varmennetyyppi

    • Pilvitaso: Varmenteen on oltava CA-varmenne, ei päätepistevarmenne.
    • DD-käyttöliittymä: Varmenteen on oltava isäntä/palvelinvarmenne ilman sopimattomia laajennuksia.

  2. Virheellinen avainten luonti

    • Joskus varmenteen luontiin käytetty yksityinen avain (kuten ECS:ssä F5-kuormituksentasaajalle) on luotu virheellisesti.

  3. CSR-ristiriita

    • Jotkin varmenteiden myöntäjät saattavat ohittaa pyydetyt laajennukset CSR:ssä ja palauttaa varmenteen, jossa on yhteensopimattomia x509 v3 -laajennuksia.

解析度

Cloud Tier (CT) -integrointi ECS:ään F5-kuormituksentasauksen avulla:

Viite: ECS:n hallintaopas

  1. Luo yksityinen avain ECS:ssä

    • Kirjaudu ECS-solmuun tai yhdistettyyn järjestelmään.
    • Suorita:
      • openssl genrsa -des3 -out server.key 2048
    • Anna ja vahvista tunnuslause.
    • Poista salasana, ennen kuin lataat avaimen ECS:ään.
    • Aseta käyttöoikeudet:
      • chmod 0400 server.key
  2. Luo varmenne F5-näppäimellä ECS-näppäimellä
    • Noudata asiaankuuluvan Dell EMC ECS with F5 -integrointioppaan ohjeita.

  3. Varmenteen tuominen Data Domainiin

    Huomautus: Varmista, että tuotava varmenne on päätepisteen varmenteen allekirjoittanut CA-varmenne , ei itse päätepistevarmenne.

    DD-käyttöliittymä (https-käyttö):

    1. Luo CSR Data Domainista

      • Käytä DD:n sisäänrakennettuja työkaluja CSR:n luomiseen.
      • Lähetä CSR varmentajallesi allekirjoitettavaksi.

    2. Allekirjoitetun varmenteen tuominen DD:hen

      • Varmista, että palautetulla varmenteella on asianmukaiset laajennukset (eli palvelin tai ei mitään).

    3. Vianmääritys

      • Jos tuonti epäonnistuu, tarkista varmenne käyttämällä:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Tarkista x509 v3 -laajennusten yhteensopivuus.

    Vihje: Yksityinen avain ei koskaan poistu DD:stä CSR-menetelmää käytettäessä, mikä varmistaa turvallisen käsittelyn. 

    其他資訊

    Esimerkkejä varmenteiden validoinnista

    Yleinen syy virheeseen "Virheellinen CA-varmenne x509 v3 laajennus" on sellaisen varmenteen tuominen, joka ei ole päävarmenteiden myöntäjä tai josta puuttuu oikeat x509-laajennukset.

    Esimerkki: Virheellinen päätepisteen varmenne:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Tämä varmenne koskee verkkopalvelinta, ei varmenteiden myöntäjää. Sitä ei voi käyttää luotettuna varmenteena DD Cloud Tierissä.

    Oikea CA-välitodistus:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Tämä on CA-varmenne, mutta sitä ei ole itse allekirjoitettu. Sen allekirjoittaa juuri CA.

    Oikea CA-päävarmenne:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Tämä itse allekirjoitettu CA-päävarmenne on oikea tuotavaksi DD:hen.
        • Voit myös tuoda CA-välivarmenteita tarvittaessa, mutta luottamuksen vahvistus edellyttää yleensä päävarmenteiden myöntäjää.

    Esimerkki: Virheelliset käyttöliittymävarmenteiden laajennukset:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Tämä varmenne on merkitty asiakkaan todennusta ja sähköpostin suojausta varten - ei sovellu DD UI HTTPS -käyttöön.

      Suositeltu CSR-luonti DD-käyttöliittymälle:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Varmista varmenteen allekirjoittamisen yhteydessä, että varmentaja noudattaa pyydettyjä laajennuksia.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。