Data Domain : L’importation du certificat SSL échoue avec le message « Extension x509 v3 non valide » pour le niveau Cloud ou l’interface utilisateur

Lors de la configuration SSL pour :

• Intégration Cloud Tier (par exemple, avec ECS à l’aide de HTTPS) ou
• Accès à l’interface utilisateur DD à l’aide d’un certificat signé en externe

L’erreur suivante peut se produire :

Invalid CA certificate x509 v3 extension

Des entrées de journal supplémentaires peuvent apparaître dans /ddr/var/log/messages.engineering

• sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
  sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

Cette erreur peut se produire pour une ou plusieurs des raisons suivantes :

1. Type de certificat incorrect

   • Pour Cloud Tier : Le certificat doit être un certificat d’autorité de certification et non un certificat de point de terminaison.
   • Pour l’interface utilisateur DD : Le certificat doit être un certificat d’hôte/serveur sans extensions inappropriées.

2. Génération de clés incorrecte

   • Parfois, la clé privée utilisée pour générer le certificat (par exemple, sur ECS pour un équilibreur de charge F5) a été créée de manière incorrecte.

3. Non-correspondance CSR

   • Certaines autorités de certification (AC) peuvent ignorer les extensions demandées dans la CSR et renvoyer un certificat avec des extensions x509 v3 incompatibles.

Pour l’intégration de Cloud Tier (CT) avec ECS à l’aide de l’équilibreur de charge F5 :

Références : Guide d’administration d’ECS

1. Génération d’une clé privée sur ECS

   • Connectez-vous à un nœud ECS ou à un système connecté.
   • Exécutez la commande suivante :
     • openssl genrsa -des3 -out server.key 2048
   • Saisissez et confirmez une phrase secrète.
   • Supprimez la phrase secrète avant de télécharger la clé sur ECS.
   • Définir les autorisations :
     • chmod 0400 server.key
2. Générer un certificat sur F5 à l’aide d’une clé ECS
   • Suivez les étapes décrites dans le guide d’intégration Dell EMC ECS avec F5 .

3. Importer le certificat dans Data Domain

   • Reportez-vous à l’article de la base de connaissances : Comment ajouter des certificats à un système Data Domain pour une utilisation dans le Cloud avec la rétention à long terme (LTR).

Remarque : Assurez-vous que le certificat importé est le certificat de l’autorité de certification qui a signé le certificat de point de terminaison, et non le certificat de point de terminaison lui-même.

Pour l’interface utilisateur DD (accès HTTPS) :

1. Générer une CSR à partir de Data Domain

   • Utilisez les outils intégrés de DD pour générer la CSR.
   • Soumettez la CSR à votre autorité de certification pour signature.

2. Importer le certificat signé dans DD

   • Assurez-vous que le certificat renvoyé dispose des extensions appropriées (c’est-à-dire, serveur ou aucune).

3. Dépannage

   • En cas d’échec de l’importation, inspectez le certificat à l’aide de la commande suivante :
     • openssl x509 -in /path/to/certificate.pem -text -noout
   • Passez en revue la compatibilité des extensions x509 v3.

Conseil : La clé privée ne quitte jamais le DD lors de l’utilisation de la méthode CSR, ce qui garantit un traitement sécurisé. 

Exemples de validation de certificat

L’une des raisons courantes de l’erreur « Certificat d’autorité de certification non valide extension x509 v3 » est l’importation d’un certificat qui n’est pas une autorité de certification racine ou qui ne dispose pas des extensions x509 correctes.

Exemple : Certificat de point de terminaison incorrect :

• • Subject: CN=objects.ilandcloud.com
    X509v3 Basic Constraints: critical
        CA:FALSE

  • Ce certificat est destiné à un serveur Web et non à une autorité de certification. Il ne peut pas être utilisé comme certificat de confiance dans DD for Cloud Tier.

Certificat CA intermédiaire correct :

• • Subject: CN=Let's Encrypt Authority X3
    X509v3 Basic Constraints: critical
        CA:TRUE, pathlen:0

  • Il s’agit d’un certificat d’autorité de certification, mais il n’est pas auto-signé. Il est signé par l’autorité de certification racine.

Certificat CA racine correct :

• • Subject: CN=ISRG Root X1
    Issuer: CN=ISRG Root X1
    X509v3 Basic Constraints: critical
        CA:TRU

  • Ce certificat d’autorité de certification racine auto-signé est le certificat approprié à importer dans DD.
    • Vous pouvez également importer des certificats d’autorité de certification intermédiaires si nécessaire, mais l’autorité de certification racine est généralement requise pour la validation de la confiance.

Exemple : Extensions de certificat d’interface utilisateur incorrectes :

• X509v3 Extended Key Usage:
      TLS Web Client Authentication, E-mail Protection

• Ce certificat est marqué pour l’authentification client et la protection des e-mails. Il ne convient pas pour l’accès HTTPS à l’interface utilisateur DD.

  Génération de CSR recommandée pour l’interface utilisateur DD :

• adminaccess certificate cert-signing-request generate key-strength 4096bit \
    country ES state Madrid city SomeCity org-name DELL org-unit DPS \
    common-name www.example.com basic-constraint CA:FALSE

• Assurez-vous que l’autorité de certification respecte les extensions demandées lors de la signature du certificat.