Data Domain: SSL Sertifikasını İçe Aktarma İşlemi, Bulut Katmanı veya Kullanıcı Arayüzü İçin "Geçersiz x509 v3 Uzantısı" Hatasıyla Başarısız Oluyor

摘要: Data Domain Bulut Katmanı (CT) veya DD kullanıcı arayüzü için bir SSL sertifikasını içe aktarırken, geçersiz x509 v3 uzantısını belirten bir hata oluşabilir. Bu KB, bunun nedenini açıklar ve her iki senaryo için de çözüm adımları sağlar. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Şunun için SSL yapılandırması sırasında:

  • Bulut Katmanı entegrasyonu (ör. HTTPS kullanan ECS ile) veya
  • Harici olarak imzalanmış bir sertifika kullanarak DD UI erişimi,

Aşağıdaki hatayla karşılaşılabilir:

Invalid CA certificate x509 v3 extension

Ek günlük girişleri şurada görüntülenebilir: /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Bu hata, aşağıdaki nedenlerden biri veya birkaçı nedeniyle oluşabilir:

  1. Yanlış Sertifika Türü

    • Bulut Katmanı için: Sertifika, uç nokta sertifikası değil, CA sertifikası olmalıdır.
    • DD UI için: Sertifika, uygun uzantılara sahip olmayan bir ana bilgisayar/sunucu sertifikası olmalıdır.

  2. Yanlış Anahtar Oluşturma

    • Bazen, sertifikayı oluşturmak için kullanılan özel anahtar (örneğin, F5 Yük Dengeleyici için ECS'de) yanlış oluşturulmuştur.

  3. CSR Uyumsuzluğu

    • Bazı Sertifika Yetkilileri (CA), CSR'de istenen uzantıları yoksayabilir ve uyumsuz x509 v3 uzantılarına sahip bir sertifika döndürebilir.

解析度

F5 Yük Dengeleyici kullanarak ECS ile Bulut Katmanı (CT) Entegrasyonu için:

Referans: ECS yönetim rehberi

  1. ECS de Özel Anahtar Oluştur

    • Bir ECS düğümünde veya bağlı bir sistemde oturum açın.
    • Şu komutu çalıştırın:
      • openssl genrsa -des3 -out server.key 2048
    • Bir anahtar parolası girin ve onaylayın.
    • Anahtarı ECS'ye yüklemeden önce anahtar parolasını kaldırın.
    • İzinleri ayarlayın:
      • chmod 0400 server.key
  2. ECS Anahtarını kullanarak F5 te Sertifika Oluşturma
    • F5 özellikli Dell EMC ECS entegrasyon rehberindeki adımları uygulayın.

  3. Sertifikayı Data Domain'e Aktarma

    Not: İçeri aktarılan sertifikanın, uç nokta sertifikasının kendisi değil, uç nokta sertifikasını imzalayan CA sertifikası olduğundan emin olun.

    DD UI (HTTPS Erişimi) için:

    1. Data Domain'den CSR Oluşturma

      • CSR oluşturmak için DD'nin yerleşik araçlarını kullanın.
      • CSR'yi imzalaması için CA'nıza gönderin.

    2. İmzalı Sertifikayı DD ye aktarma

      • Döndürülen sertifikanın uygun uzantılara (sunucu veya hiçbiri) sahip olduğundan emin olun.

    3. Sorun Giderme

      • İçe aktarma başarısız olursa aşağıdakileri kullanarak sertifikayı inceleyin:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Uyumluluk için x509 v3 uzantılarını gözden geçirin.

    İpucu: CSR yöntemini kullanırken özel anahtar hiçbir zaman DD'den ayrılmaz ve güvenli kullanım sağlar. 

    其他資訊

    Sertifika Doğrulama Örnekleri

    "Geçersiz CA sertifikası x509 v3 uzantısı" hatasının yaygın bir nedeni, kök CA olmayan veya doğru x509 uzantılarına sahip olmayan bir sertifikayı içe aktarmaktır.

    Örneğin: Yanlış Uç Nokta Sertifikası:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Bu sertifika bir CA için değil, bir web sunucusu içindir. Bulut Katmanı için DD'de güvenilir sertifika olarak kullanılamaz.

    Correct Intermediate CA Certificate:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Bu bir CA sertifikasıdır, ancak kendinden imzalı değildir. Kök CA tarafından imzalanır.

    Correct Root CA Certificate:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Bu kendinden imzalı kök CA sertifikası, DD ye içe aktarılması doğru sertifikadır.
        • Gerekirse ara CA sertifikalarını da içe aktarabilirsiniz ancak güven doğrulaması için genellikle kök CA gereklidir.

    Örneğin: Incorrect UI Certificate Extensions:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Bu sertifika, istemci kimlik doğrulaması ve e-posta koruması için işaretlenmiştir - DD UI HTTPS erişimi için uygun değildir.

      DD Kullanıcı Arayüzü için Önerilen CSR Oluşturma:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Sertifikayı imzalarken CA'nın istenen uzantıları dikkate aldığından emin olun.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。