Data Domain: Cloud Tier 또는 UI에 대해 "잘못된 x509 v3 확장"과 함께 SSL 인증서 가져오기 실패

다음에 대한 SSL 구성 중:

• Cloud Tier 통합 (예: HTTPS를 사용하는 ECS와의 통합) 또는
• 외부에서 서명된 인증서를 사용한 DD UI 액세스

다음 오류가 발생할 수 있습니다.

Invalid CA certificate x509 v3 extension

추가 로그 항목은 다음에 나타날 수 있습니다. /ddr/var/log/messages.engineering

• sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
  sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

이 오류는 다음 이유 중 하나 이상으로 인해 발생할 수 있습니다.

1. 잘못된 인증서 유형

   • Cloud Tier의 경우: 인증서는 엔드포인트 인증서가 아닌 CA 인증서여야 합니다.
   • DD UI의 경우: 인증서는 부적절한 확장자가 없는 호스트/서버 인증서 여야 합니다.

2. 부적절한 키 생성

   • 인증서 생성에 사용된 개인 키(예: F5 로드 밸런서용 ECS)가 잘못 생성되는 경우가 있습니다.

3. CSR 불일치

   • 일부 CA(Certificate Authority)는 CSR에서 요청된 확장을 무시하고 호환되지 않는 x509 v3 확장을 가진 인증서를 반환할 수 있습니다.

F5 로드 밸런서를 사용하여 ECS와 CT(Cloud Tier)를 통합하는 경우:

참조: ECS 관리 가이드

1. ECS에서 개인 키 생성

   • ECS 노드 또는 연결된 시스템에 로그인합니다.
   • 다음을 실행합니다.
     • openssl genrsa -des3 -out server.key 2048
   • 암호문구를 입력하고 확인합니다.
   • ECS에 키를 업로드하기 전에 비밀번호 문구를 제거합니다.
   • 사용 권한 설정:
     • chmod 0400 server.key
2. ECS 키를 사용하여 F5에서 인증서 생성
   • F5를 사용하는 관련 Dell EMC ECS 통합 가이드의 단계를 따르십시오.

3. Data Domain으로 인증서 가져오기

   • 이 취약성과 관련된 모든 Dell EMC 제품에 대한 자세한 내용은 KB: 클라우드에 LTR(Long Term Reterntion)과 함께 사용하기 위해 Data Domain에 인증서를 추가하는 방법

참고: 가져오는 인증서가 엔드포인트 인증서 자체가 아니라 엔드포인트 인증서에 서명한 CA 인증서 인지 확인합니다.

DD UI(HTTPS 액세스)의 경우:

1. Data Domain에서 CSR 생성

   • DD의 기본 제공 툴을 사용하여 CSR을 생성합니다.
   • 서명을 위해 CSR을 CA에 제출합니다.

2. 서명된 인증서를 DD로 가져오기

   • 반환된 인증서에 적절한 확장명(즉, 서버 또는 없음)이 있는지 확인합니다.

3. 문제 해결

   • 가져오기에 실패하면 다음을 사용하여 인증서를 검사합니다.
     • openssl x509 -in /path/to/certificate.pem -text -noout
   • x509 v3 확장의 호환성을 검토합니다.

팁: CSR 방법을 사용할 때 개인 키는 안전한 처리를 위해 DD를 벗어나지 않습니다. 

인증서 유효성 검사 예

"잘못된 CA 인증서 x509 v3 확장" 오류의 일반적인 원인은 루트 CA가 아니거나 올바른 x509 확장이 없는 인증서를 가져오기 때문입니다.

예: 잘못된 엔드포인트 인증서:

• • Subject: CN=objects.ilandcloud.com
    X509v3 Basic Constraints: critical
        CA:FALSE

  • 이 인증서는 CA가 아닌 웹 서버용입니다. DD for Cloud Tier에서는 신뢰할 수 있는 인증서로 사용할 수 없습니다.

올바른 중간 CA 인증서:

• • Subject: CN=Let's Encrypt Authority X3
    X509v3 Basic Constraints: critical
        CA:TRUE, pathlen:0

  • CA 인증서이지만 자체 서명되지 않았습니다. 루트 CA에서 서명합니다.

올바른 루트 CA 인증서:

• • Subject: CN=ISRG Root X1
    Issuer: CN=ISRG Root X1
    X509v3 Basic Constraints: critical
        CA:TRU

  • 이 자체 서명된 루트 CA 인증서는 DD로 가져올 올바른 인증서입니다.
    • 필요한 경우 중간 CA 인증서를 가져올 수도 있지만 일반적으로 신뢰 유효성 검사를 위해 루트 CA가 필요합니다.

예: 잘못된 UI 인증서 확장:

• X509v3 Extended Key Usage:
      TLS Web Client Authentication, E-mail Protection

• 이 인증서는 클라이언트 인증 및 이메일 보호용으로 표시되어 있으며 DD UI HTTPS 액세스에는 적합하지 않습니다.

  DD UI에 권장되는 CSR 생성:

• adminaccess certificate cert-signing-request generate key-strength 4096bit \
    country ES state Madrid city SomeCity org-name DELL org-unit DPS \
    common-name www.example.com basic-constraint CA:FALSE

• CA가 인증서에 서명할 때 요청된 확장을 준수하는지 확인합니다.