Data Domain: L'importazione del certificato SSL ha esito negativo con "Invalid x509 v3 Extension" per Cloud Tier o UI

摘要: Quando si importa un certificato SSL per Data Domain Cloud Tier (CT) o l'interfaccia utente di DD, potrebbe verificarsi un errore che indica un'estensione x509 v3 non valida. Questo articolo della Knowledge Base spiega la causa e fornisce la procedura di risoluzione per entrambi gli scenari. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Durante la configurazione SSL per:

  • Integrazione di Cloud Tier (ad esempio, con ECS utilizzando HTTPS) o
  • Accesso all'interfaccia utente DD utilizzando un certificato firmato esternamente,

È possibile che si verifichi il seguente errore:

Invalid CA certificate x509 v3 extension

È possibile che vengano visualizzate ulteriori voci del registro in /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Questo errore può verificarsi a causa di uno o più dei seguenti motivi:

  1. Tipo di certificato errato

    • Per Cloud Tier: Il certificato deve essere un certificato CA, non un certificato endpoint.
    • Per l'interfaccia utente DD: Il certificato deve essere un certificato host/server senza estensioni inappropriate.

  2. Generazione di chiavi non corretta

    • In alcuni casi, la chiave privata utilizzata per generare il certificato (ad esempio, su ECS per un sistema di bilanciamento del carico F5) è stata creata in modo errato.

  3. Mancata corrispondenza CSR

    • Alcune autorità di certificazione (CA) possono ignorare le estensioni richieste nella CSR e restituire un certificato con estensioni x509 v3 incompatibili.

解析度

Per l'integrazione di Cloud Tier (CT) con ECS utilizzando il Load Balancer F5:

Riferimento: Guida all'amministrazione di ECS

  1. Generazione di una chiave privata su ECS

    • Accedere a un nodo ECS o a un sistema connesso.
    • Eseguire:
      • openssl genrsa -des3 -out server.key 2048
    • Immettere e confermare una passphrase.
    • Rimuovere la passphrase prima di caricare la chiave in ECS.
    • Impostare le autorizzazioni:
      • chmod 0400 server.key
  2. Generazione del certificato su F5 utilizzando la chiave ECS
    • Seguire la procedura descritta nella relativa Guida all'integrazione di Dell EMC ECS con F5 .

  3. Importazione del certificato in Data Domain

    Nota: Assicurarsi che il certificato da importare sia il certificato CA che ha firmato il certificato dell'endpoint, non il certificato dell'endpoint stesso.

    Per l'interfaccia utente DD (accesso HTTPS):

    1. Generare CSR da Data Domain

      • Utilizzare gli strumenti integrati di DD per generare la CSR.
      • Inviare il CSR alla CA per la firma.

    2. Importare il certificato firmato in DD

      • Accertarsi che il certificato restituito disponga delle estensioni appropriate (vale a dire, server o nessuna).

    3. Risoluzione dei problemi

      • Se l'importazione non riesce, esaminare il certificato utilizzando:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Esaminare le estensioni x509 v3 per verificarne la compatibilità.

    Suggerimento: La chiave privata non lascia mai DD quando si utilizza il metodo CSR, garantendo una gestione sicura. 

    其他資訊

    Esempi di convalida dei certificati

    Un motivo comune per l'errore "Invalid CA certificate x509 v3 extension" è l'importazione di un certificato che non è una CA radice o non dispone delle estensioni x509 corrette.

    Esempio: Certificato endpoint non corretto:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Questo certificato è per un web server, non per una CA. Non può essere utilizzato come certificato attendibile in DD for Cloud Tier.

    Certificato CA intermedio corretto:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Si tratta di un certificato CA, ma non autofirmato. È firmato dalla CA radice.

    Certificato CA radice corretto:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Questo certificato CA root autofirmato è quello corretto da importare in DD.
        • Se necessario, è anche possibile importare certificati CA intermedi, ma la CA radice è in genere necessaria per la convalida dell'attendibilità.

    Esempio: Estensioni del certificato dell'interfaccia utente non corrette:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Questo certificato è contrassegnato per l'autenticazione client e la protezione e-mail, non adatto per l'accesso HTTPS dell'interfaccia utente DD.

      Generazione di CSR consigliata per l'interfaccia utente DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Accertarsi che la CA rispetti le estensioni richieste durante la firma del certificato.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。