「Data Domain：クラウド階層またはUIのSSL証明書のインポートが「無効なx509 v3拡張機能」で失敗する

次の場合のSSL構成時:

• クラウド階層の統合 (HTTPSを使用したECSなど)、または
• 外部署名付き証明書を使用したDD UIアクセス

次のエラーが発生する可能性があります。

Invalid CA certificate x509 v3 extension

追加のログ エントリーは、次の場所に表示される場合があります。 /ddr/var/log/messages.engineering

• sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
  sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

このエラーは、次の 1 つ以上の理由により発生する可能性があります。

1. 証明書タイプが正しくありません

   • Cloud Tierの場合: 証明書は、エンドポイント証明書ではなく 、CA証明書である必要があります。
   • DD UIの場合: 証明書は、不適切な拡張子を含まない ホスト/サーバー証明書 である必要があります。

2. 不適切なキー生成

   • 証明書の生成に使用される秘密キー(ECSでのF5ロード バランサーなど)が正しく作成されないことがありました。

3. CSRの不一致

   • 一部の認証局(CA)は、CSRで要求された拡張子を無視し、互換性のないx509 v3拡張子を持つ証明書を返す場合があります。

F5ロード バランサーを使用したクラウド階層(CT)とECSの統合の場合:

リファレンス：ECS管理ガイド

1. ECSでのプライベート キーの生成

   • ECSノードまたは接続されているシステムにログインします。
   • 次を実行：
     • openssl genrsa -des3 -out server.key 2048
   • パスフレーズを入力して確認します。
   • ECSにキーをアップロードする前に、パスフレーズを削除してください。
   • 権限を設定します。
     • chmod 0400 server.key
2. ECSキーを使用したF5での証明書の生成
   • 関連する Dell EMC ECS with F5 統合ガイドの手順に従います。

3. Data Domainへの証明書のインポート

   • この脆弱性に関するすべてのDell EMC製品の詳細については、KB：クラウドへの長期遅延(LTR)で使用するために証明書をData Domainに追加する方法。

注：インポートする証明書が、エンドポイント証明書そのものではなく、エンドポイント証明書に署名した CA証明書 であることを確認します。

DD UI(HTTPS アクセス)の場合:

1. Data DomainからのCSRの生成

   • CSRを生成するには、DDの組み込みツールを使用します。
   • 署名のためにCSRをCAに送信します。

2. 署名済み証明書のDDへのインポート

   • 返された証明書に適切な拡張子があることを確認します(つまり、サーバーの拡張子がないか、まったくないか)。

3. トラブルシューティング

   • インポートが失敗した場合は、次を使用して証明書を検査します。
     • openssl x509 -in /path/to/certificate.pem -text -noout
   • 互換性については、x509 v3 拡張機能を確認してください。

ヒント：CSR方式を使用する場合、プライベート キーがDDから離れることはないため、安全な処理が保証されます。 

証明書の検証の例

「Invalid CA certificate x509 v3 extension」エラーの一般的な原因は、ルートCAではない証明書、または正しいx509拡張子のない証明書をインポートすることです。

Example: 正しくないエンドポイント証明書:

• • Subject: CN=objects.ilandcloud.com
    X509v3 Basic Constraints: critical
        CA:FALSE

  • この証明書は Web サーバー用であり、CA 用ではありません。クラウド階層のDDで信頼できる証明書として使用することはできません。

正しい中間CA証明書:

• • Subject: CN=Let's Encrypt Authority X3
    X509v3 Basic Constraints: critical
        CA:TRUE, pathlen:0

  • これはCA証明書ですが、 自己署名ではありません。これは、ルートCAによって署名されています。

正しいルートCA証明書:

• • Subject: CN=ISRG Root X1
    Issuer: CN=ISRG Root X1
    X509v3 Basic Constraints: critical
        CA:TRU

  • この自己署名ルートCA証明書は、DDにインポートするための正しい証明書です。
    • 必要に応じて中間CA証明書をインポートすることもできますが、通常、ルートCAは信頼検証に必要です。

Example: 不正なUI証明書拡張機能:

• X509v3 Extended Key Usage:
      TLS Web Client Authentication, E-mail Protection

• この証明書は、クライアント認証とEメール保護用にマークされており、DD UI HTTPSアクセスには適していません。

  DD UIで推奨されるCSR生成:

• adminaccess certificate cert-signing-request generate key-strength 4096bit \
    country ES state Madrid city SomeCity org-name DELL org-unit DPS \
    common-name www.example.com basic-constraint CA:FALSE

• 証明書に署名するときに、CA が要求された拡張子を受け入れることを確認します。