Data Domain: Import av SSL-certifikat misslyckas med "Ogiltigt x509 v3-tillägg" för molnnivå eller användargränssnitt

摘要: När du importerar ett SSL-certifikat för Data Domain Cloud Tier (CT) eller DD-gränssnittet kan ett fel inträffa som indikerar ett ogiltigt x509 v3-tillägg. Den här kunskapsbasartikeln förklarar orsaken och tillhandahåller lösningssteg för båda scenarierna. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Under SSL-konfiguration för:

  • Integrering på molnnivå (t.ex. med ECS med HTTPS) eller
  • DD UI-åtkomst med hjälp av ett externt signerat certifikat,

Följande fel kan uppstå:

Invalid CA certificate x509 v3 extension

Ytterligare loggposter kan visas i /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Det här felet kan uppstå på grund av en eller flera av följande orsaker:

  1. Felaktig certifikattyp

    • För Cloud Tier: Certifikatet måste vara ett CA-certifikat, inte ett slutpunktscertifikat.
    • För DD-användargränssnitt: Certifikatet måste vara ett värd-/servercertifikat utan olämpliga tillägg.

  2. Felaktig nyckelgenerering

    • Ibland skapades felaktigt den privata nyckel som används för att generera certifikatet (till exempel på ECS för en F5-lastbalanserare).

  3. CSR-matchningsfel

    • Vissa certifikatutfärdare kan ignorera de begärda tilläggen i CSR och returnera ett certifikat med inkompatibla x509 v3-tillägg.

解析度

För integrering på molnnivå (CT) med ECS med F5 Load Balancer:

Referens: ECS-administrationsmanual

  1. Generera privat nyckel på ECS

    • Logga in på en ECS-nod eller ett anslutet system.
    • Kör:
      • openssl genrsa -des3 -out server.key 2048
    • Ange och bekräfta en lösenfras.
    • Ta bort lösenfrasen innan du laddar upp nyckeln till ECS.
    • Ange behörigheter:
      • chmod 0400 server.key
  2. Generera certifikat på F5 med ECS-nyckel
    • Följ stegen i relevant integreringsmanual för Dell EMC ECS med F5 .

  3. Importera certifikat till Data Domain

    Obs! Kontrollera att certifikatet som importeras är det CA-certifikat som signerade slutpunktscertifikatet, inte själva slutpunktscertifikatet.

    För DD UI (HTTPS-åtkomst):

    1. Generera CSR från Data Domain

      • Använd DD:s inbyggda verktyg för att generera CSR.
      • Skicka CSR till certifikatutfärdaren för signering.

    2. Importera det signerade certifikatet till DD

      • Kontrollera att det returnerade certifikatet har lämpliga tillägg (d.v.s. server eller ingen).

    3. Felsökning

      • Om importen misslyckas kontrollerar du certifikatet med hjälp av:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Granska kompatibiliteten för x509 v3-tilläggen.

    Dricks: Den privata nyckeln lämnar aldrig DD när du använder CSR-metoden, vilket säkerställer säker hantering. 

    其他資訊

    Exempel på certifikatvalidering

    En vanlig orsak till felet "Ogiltigt CA-certifikat x509 v3-tillägg" är att importera ett certifikat som inte är en rotcertifikatutfärdare eller saknar rätt x509-tillägg.

    Exempel: Felaktigt slutpunktscertifikat:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Det här certifikatet är för en webbserver, inte en certifikatutfärdare. Det kan inte användas som ett betrott certifikat i DD för Cloud Tier.

    Korrekt mellanliggande CA-certifikat:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Det här är ett CA-certifikat, men det är inte självsignerat. Den signeras av rotcertifikatutfärdaren.

    Rätt rotcertifikatutfärdarcertifikat:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Det här självsignerade rotcertifikatutfärdarcertifikatet är rätt att importera till DD.
        • Du kan också importera mellanliggande CA-certifikat om det behövs, men rotcertifikatutfärdaren krävs vanligtvis för förtroendevalidering.

    Exempel: Felaktiga tillägg för gränssnittscertifikat:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Det här certifikatet är markerat för klientautentisering och e-postskydd – inte lämpligt för HD-gränssnittsåtkomst.

      Rekommenderad CSR-generering för DD-gränssnittet:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Se till att certifikatutfärdaren respekterar de begärda tilläggen när certifikatet signeras.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。