Data Domain: Falha na importação de certificado SSL com "Extensão x509 v3 inválida" para o Cloud Tier ou a interface do usuário

摘要: Ao importar um certificado SSL para o Data Domain Cloud Tier (CT) ou a interface do usuário do DD, pode ocorrer um erro indicando uma extensão x509 v3 inválida. Este artigo da KB explica a causa e apresenta as etapas de resolução para ambos os cenários. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Durante a configuração de SSL para:

  • Integração do Cloud Tier (por exemplo, com o ECS usando HTTPS) ou
  • Acesso à interface do usuário do DD usando um certificado assinado externamente,

O seguinte erro pode ser encontrado:

Invalid CA certificate x509 v3 extension

Entradas de log adicionais podem aparecer em /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Esse erro pode ocorrer devido a um ou mais dos seguintes motivos:

  1. Tipo de certificado incorreto

    • Para o Cloud Tier: O certificado deve ser um certificado de CA, não um certificado de endpoint.
    • Para a IU do DD: O certificado deve ser um certificado de host/servidor sem extensões inadequadas.

  2. Geração inadequada de chaves

    • Às vezes, a chave privada usada para gerar o certificado (como no ECS para um balanceador de carga F5) foi criada incorretamente.

  3. Disparidade de CSR

    • Algumas autoridades de certificação (CAs) podem ignorar as extensões solicitadas na CSR e retornar um certificado com extensões x509 v3 incompatíveis.

解析度

Para integração do nível da nuvem (CT) com o ECS usando o balanceador de carga F5:

Referência: Guia de administração do ECS

  1. Gerar chave privada no ECS

    • Faça log-in em um nó do ECS ou em um sistema conectado.
    • Execute:
      • openssl genrsa -des3 -out server.key 2048
    • Digite e confirme uma senha.
    • Remova a senha antes de carregar a chave no ECS.
    • Defina permissões:
      • chmod 0400 server.key
  2. Gerar certificado em F5 usando a chave do ECS
    • Siga as etapas no guia de integração relevante do Dell EMC ECS com F5 .

  3. Importar certificado para o Data Domain

    Nota: Certifique-se de que o certificado que está sendo importado seja o certificado da CA que assinou o certificado de endpoint, e não o certificado de endpoint em si.

    Para DD UI (HTTPS Access):

    1. Gerar CSR a partir do Data Domain

      • Use as ferramentas integradas do DD para gerar a CSR.
      • Envie o CSR à sua CA para assinatura.

    2. Importar o certificado assinado para o DD

      • Certifique-se de que o certificado retornado tenha extensões apropriadas (ou seja, servidor ou nenhuma).

    3. Solução de problemas

      • Se a importação falhar, inspecione o certificado usando:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Analise a compatibilidade das extensões x509 v3.

    Dica: A chave privada nunca sai do DD ao usar o método CSR, garantindo o manuseio seguro. 

    其他資訊

    Exemplos de validação de certificado

    Um motivo comum para o erro "Extensão x509 v3 do certificado CA inválido" é importar um certificado que não é uma CA raiz ou não possui as extensões x509 corretas.

    Exemplo: Certificado de endpoint incorreto:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Esse certificado é para um servidor da Web, não para uma CA. Ele não pode ser usado como um certificado confiável no DD for Cloud Tier.

    Certificado CA intermediário correto:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Este é um certificado da CA, mas não é autoassinado. Ele é assinado pela CA raiz.

    Certificado de CA raiz correto:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Esse certificado de CA raiz autoassinado é o correto a ser importado para o DD.
        • Você também pode importar certificados intermediários da CA, se necessário, mas a CA raiz geralmente é necessária para a validação de confiança.

    Exemplo: Extensões de certificado de interface do usuário incorretas:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Esse certificado é marcado para autenticação de cliente e proteção de e-mail - não adequado para acesso HTTPS da interface do usuário do DD.

      Geração de CSR recomendada para a interface do usuário do DD:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Certifique-se de que a CA honre as extensões solicitadas ao assinar o certificado.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。