Data Domain: SSL-sertifikatimport mislykkes med «Ugyldig x509 v3-utvidelse» for nettskynivå eller -brukergrensesnitt

摘要: Når du importerer et SSL-sertifikat for Data Domain Cloud Tier (CT) eller DD-grensesnittet, kan det oppstå en feil som angir en ugyldig x509 v3-utvidelse. Denne kunnskapsartikkelen forklarer årsaken og gir løsningstrinn for begge scenariene. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Under SSL-konfigurasjon for:

  • Cloud Tier-integrering (for eksempel med ECS ved hjelp av HTTPS), eller
  • DD UI-tilgang ved hjelp av et eksternt signert sertifikat,

Følgende feil kan oppstå:

Invalid CA certificate x509 v3 extension

Ytterligere loggoppføringer kan vises i /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Denne feilen kan oppstå på grunn av én eller flere av følgende årsaker:

  1. Feil sertifikattype

    • For Cloud Tier: Sertifikatet må være et CA-sertifikat, ikke et endepunktsertifikat.
    • For DD-grensesnitt: Sertifikatet må være et vert/server-sertifikat uten upassende utvidelser.

  2. Feil nøkkelgenerering

    • Noen ganger ble privatnøkkelen som ble brukt til å generere sertifikatet (for eksempel på ECS for en F5 Load Balancer), opprettet feil.

  3. CSR-uoverensstemmelse

    • Noen sertifiseringsinstanser ignorerer kanskje de forespurte tilleggsmodulene i CSR og returnerer et sertifikat med inkompatible x509 v3-tilleggsmoduler.

解析度

For Cloud Tier (CT)-integrering med ECS ved hjelp av F5 Load Balancer:

Referanse: Administrasjonsveiledning for ECS

  1. Generer privat nøkkel på ECS

    • Logg på en ECS-node eller et tilkoblet system.
    • Kjør:
      • openssl genrsa -des3 -out server.key 2048
    • Skriv inn og bekreft en passfrase.
    • Fjern passfrasen før du laster opp nøkkelen til ECS.
    • Angi tillatelser:
      • chmod 0400 server.key
  2. Generer sertifikat på F5 ved hjelp av ECS-nøkkel
    • Følg trinnene i den relevante integreringsveiledningen for Dell EMC ECS med F5 .

  3. Importer sertifikat til datadomene

    Merk: Kontroller at sertifikatet som importeres, er CA-sertifikatet som signerte endepunktsertifikatet, ikke selve endepunktsertifikatet.

    For DD UI (HTTPS Access):

    1. Generer CSR fra Data Domain

      • Bruk DDs innebygde verktøy til å generere CSR.
      • Send inn CSR-en til sertifiseringsinstansen for signering.

    2. Importere det signerte sertifikatet til DD

      • Kontroller at det returnerte sertifikatet har riktige utvidelser (det vil si server eller ingen).

    3. Feilsøking

      • Hvis importen mislykkes, må du undersøke sertifikatet ved hjelp av:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Gjennomgå x509 v3-utvidelsene for kompatibilitet.

    Tips: Den private nøkkelen forlater aldri DD når du bruker CSR-metoden, noe som sikrer sikker håndtering. 

    其他資訊

    Eksempler på sertifikatvalidering

    En vanlig årsak til feilen "Ugyldig CA-sertifikat x509 v3-utvidelse" er å importere et sertifikat som ikke er en rotsertifiseringsinstans eller mangler de riktige x509-utvidelsene.

    Eksempel: Feil endepunktsertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Dette sertifikatet er for en webserver, ikke en CA. Det kan ikke brukes som et klarert sertifikat i DD for Cloud Tier.

    Riktig mellomliggende CA-sertifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Dette er et CA-sertifikat, men det er ikke selvsignert. Den er signert av roten CA.

    Riktig Root CA-sertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Dette selvsignerte CA-rotsertifikatet er det riktige å importere til DD.
        • Du kan også importere midlertidige CA-sertifikater om nødvendig, men rotsertifiseringsinstansen kreves vanligvis for klareringsvalidering.

    Eksempel: Feil grensesnittsertifikatutvidelser:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Dette sertifikatet er merket for klientautentisering og e-postbeskyttelse - ikke egnet for DD UI HTTPS-tilgang.

      Anbefalt CSR-generasjon for DD-grensesnitt:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Kontroller at sertifiseringsinstansen overholder de forespurte tilleggsmodulene når du signerer sertifikatet.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。