Data Domain: Import certyfikatu SSL kończy się niepowodzeniem z komunikatem "Invalid x509 v3 Extension" dla warstwy chmury lub interfejsu użytkownika

摘要: Podczas importowania certyfikatu SSL dla warstwy chmury Data Domain (CT) lub interfejsu użytkownika DD może wystąpić błąd wskazujący na nieprawidłowe rozszerzenie x509 v3. Ten artykuł bazy wiedzy wyjaśnia przyczynę i zawiera kroki rozwiązywania dla obu scenariuszy. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Podczas konfiguracji SSL dla:

  • Integracja z warstwą chmury (np. z ECS przy użyciu protokołu HTTPS) lub
  • dostęp do interfejsu użytkownika DD przy użyciu certyfikatu podpisanego zewnętrznie,

Może wystąpić następujący błąd:

Invalid CA certificate x509 v3 extension

Dodatkowe wpisy dziennika mogą pojawić się w /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Ten błąd może wystąpić z co najmniej jednej z następujących przyczyn:

  1. Nieprawidłowy typ certyfikatu

    • W przypadku warstwy chmury: Certyfikat musi być certyfikatem CA, a nie certyfikatem punktu końcowego.
    • W przypadku interfejsu użytkownika DD: Certyfikat musi być certyfikatem hosta/serwera bez nieodpowiednich rozszerzeń.

  2. Nieprawidłowe generowanie kluczy

    • Czasami klucz prywatny używany do generowania certyfikatu (na przykład w ECS dla Load Balancer F5) został niepoprawnie utworzony.

  3. Niezgodność CSR

    • Niektóre urzędy certyfikacji (CA) mogą zignorować żądane rozszerzenia w CSR i zwrócić certyfikat z niezgodnymi rozszerzeniami x509 v3.

解析度

W przypadku integracji warstwy chmury (CT) z ECS przy użyciu modułu równoważenia obciążenia F5:

Źródło: Podręcznik administracyjny ECS

  1. Wygeneruj klucz prywatny w ECS

    • Zaloguj się do węzła ECS lub połączonego systemu.
    • Uruchom:
      • openssl genrsa -des3 -out server.key 2048
    • Wprowadź i potwierdź hasło.
    • Usuń hasło przed przesłaniem klucza do ECS.
    • Ustaw uprawnienia:
      • chmod 0400 server.key
  2. Wygeneruj certyfikat pod F5 przy użyciu klucza ECS
    • Wykonaj czynności opisane w odpowiednim przewodniku integracji Dell EMC ECS z F5 .

  3. Importowanie certyfikatu do Data Domain

    Uwaga: Upewnij się, że importowany certyfikat jest certyfikatem CA , który podpisał certyfikat punktu końcowego, a nie samym certyfikatem punktu końcowego.

    W przypadku interfejsu użytkownika DD (dostęp HTTPS):

    1. Generowanie CSR z Data Domain

      • Użyj wbudowanych narzędzi DD, aby wygenerować CSR.
      • Prześlij CSR do CA w celu podpisania.

    2. Zaimportuj podpisany certyfikat do DD

      • Upewnij się, że zwrócony certyfikat ma odpowiednie rozszerzenia (tzn. serwer lub brak).

    3. Rozwiązywanie problemów

      • Jeśli import nie powiedzie się, sprawdź certyfikat przy użyciu:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Sprawdź zgodność rozszerzeń x509 v3.

    Wskazówka: Klucz prywatny nigdy nie opuszcza DD podczas korzystania z metody CSR, zapewniając bezpieczną obsługę. 

    其他資訊

    Przykłady weryfikacji certyfikatów

    Częstą przyczyną błędu "Invalid CA certificate x509 v3 extension" jest importowanie certyfikatu, który nie jest głównym urzędem certyfikacji lub nie ma poprawnych rozszerzeń x509.

    Przykład: Nieprawidłowy certyfikat punktu końcowego:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Ten certyfikat jest przeznaczony dla serwera WWW, a nie dla urzędu certyfikacji. Nie można go używać jako zaufanego certyfikatu w DD dla warstwy chmury.

    Prawidłowy pośredni certyfikat urzędu certyfikacji:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Jest to certyfikat urzędu certyfikacji, ale nie ma podpisu własnego. Jest on podpisany przez główną instytucję certyfikującą.

    Prawidłowy certyfikat głównego urzędu certyfikacji:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Ten certyfikat głównego urzędu certyfikacji z podpisem własnym jest prawidłowy do zaimportowania do DD.
        • W razie potrzeby można również zaimportować pośrednie certyfikaty urzędu certyfikacji, ale główny urząd certyfikacji jest zwykle wymagany do weryfikacji zaufania.

    Przykład: Nieprawidłowe rozszerzenia certyfikatów interfejsu użytkownika:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Ten certyfikat jest oznaczony do uwierzytelniania klienta i ochrony poczty e-mail — nie nadaje się do dostępu DD UI HTTPS.

      Zalecane generowanie CSR dla interfejsu użytkownika DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Upewnij się, że urząd certyfikacji honoruje żądane rozszerzenia podczas podpisywania certyfikatu.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。