Data Domain: Het importeren van SSL-certificaten mislukt met 'Invalid x509 v3 Extension' voor cloudlaag of gebruikersinterface

摘要: Bij het importeren van een SSL-certificaat voor Data Domain Cloud Tier (CT) of de DD-gebruikersinterface kan er een fout optreden die wijst op een ongeldige x509 v3-extensie. In dit KB-artikel wordt de oorzaak uitgelegd en vindt u stappen om beide scenario's op te lossen. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Tijdens SSL-configuratie voor:

  • Cloud Tier-integratie (bijvoorbeeld met ECS via HTTPS), of
  • DD UI-toegang met behulp van een extern ondertekend certificaat,

De volgende fout kan worden aangetroffen:

Invalid CA certificate x509 v3 extension

Aanvullende logboekvermeldingen kunnen worden weergegeven in /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Deze fout kan optreden als gevolg van een of meer van de volgende redenen:

  1. Onjuist certificaattype

    • Voor Cloud Tier: Het certificaat moet een CA-certificaat zijn, geen eindpuntcertificaat.
    • Voor DD UI: Het certificaat moet een host-/servercertificaat zijn zonder ongepaste extensies.

  2. Onjuiste sleutelgeneratie

    • Soms is de persoonlijke sleutel die wordt gebruikt om het certificaat te genereren (bijvoorbeeld op ECS voor een F5 Load Balancer) onjuist gemaakt.

  3. CSR komt niet overeen

    • Sommige certificeringsinstanties (CA's) kunnen de gevraagde extensies in de CSR negeren en een certificaat retourneren met incompatibele x509 v3-extensies.

解析度

Voor Cloud Tier (CT)-integratie met ECS met behulp van F5 Load Balancer:

Referentie: ECS beheerhandleiding

  1. Generate Private Key on ECS

    • Meld u aan bij een ECS knooppunt of een aangesloten systeem.
    • Voer het volgende uit:
      • openssl genrsa -des3 -out server.key 2048
    • Voer een wachtwoordzin in en bevestig deze.
    • Verwijder de wachtwoordzin voordat u de sleutel uploadt naar ECS.
    • Machtigingen instellen:
      • chmod 0400 server.key
  2. Certificaat genereren op F5 met ECS-sleutel
    • Volg de stappen in de relevante Dell EMC ECS met F5-integratiehandleiding .

  3. Certificaat importeren in Data Domain

    Opmerking: Zorg ervoor dat het certificaat dat wordt geïmporteerd het CA-certificaat is dat het eindpuntcertificaat heeft ondertekend, niet het eindpuntcertificaat zelf.

    Voor DD UI (HTTPS-toegang):

    1. CSR genereren op basis van Data Domain

      • Gebruik de ingebouwde tools van DD om de CSR te genereren.
      • Dien de CSR ter ondertekening in bij uw CA.

    2. Importeer het ondertekende certificaat in DD

      • Zorg ervoor dat het geretourneerde certificaat de juiste extensies heeft (dat wil zeggen, server of geen).

    3. Probleemoplossing

      • Als het importeren mislukt, controleert u het certificaat met behulp van:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Controleer de x509 v3-extensies op compatibiliteit.

    Fooi: De persoonlijke sleutel verlaat het DD nooit bij gebruik van de CSR-methode, wat een veilige afhandeling garandeert. 

    其他資訊

    Voorbeelden van certificaatvalidatie

    Een veelvoorkomende reden voor de foutmelding "Invalid CA certificate x509 v3 extension" is het importeren van een certificaat dat geen basis-CA is of niet de juiste x509-extensies heeft.

    Voorbeeld: Incorrect Endpoint Certificate:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dit certificaat is voor een webserver, niet voor een CA. Het kan niet worden gebruikt als een vertrouwd certificaat in DD for Cloud Tier.

    Correct tussenliggend CA-certificaat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dit is een CA-certificaat, maar het is niet zelfondertekend. Het wordt ondertekend door de root-CA.

    Correct basis-CA-certificaat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dit zelfondertekende basis-CA-certificaat is het juiste certificaat om in DD te importeren.
        • U kunt indien nodig ook tussenliggende CA-certificaten importeren, maar de basis-CA is meestal vereist voor vertrouwensvalidatie.

    Voorbeeld: Onjuiste UI-certificaatextensies:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dit certificaat is gemarkeerd voor clientverificatie en e-mailbeveiliging, niet geschikt voor DD UI HTTPS-toegang.

      Aanbevolen CSR-generatie voor DD UI:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Ervoor zorgen dat de CA de aangevraagde extensies honoreert bij het ondertekenen van het certificaat.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。