Data Domain:SSL 憑證匯入失敗,雲端層或 UI 顯示「X509 v3 Extension 無效」

摘要: 匯入 Data Domain Cloud Tier (CT) 或 DD UI 的 SSL 憑證時,可能會發生錯誤,指出 x509 v3 延伸無效。本 KB 說明原因,並提供兩種情況的解決方案步驟。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

在設定下列 SSL 期間:

  • 雲端層整合 (例如,使用 HTTPS 與 ECS),或
  • 使用外部簽署憑證的 DD UI 存取

可能會遇到以下錯誤:

Invalid CA certificate x509 v3 extension

其他記錄項目可能會出現在 /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

此錯誤可能是由於以下一個或多個原因而發生的:

  1. 憑證類型不正確

    • 針對雲端層:證書必須是 CA 證書,而不是終結點證書。
    • 針對 DD UI:證書必須是沒有不適當擴展名的 主機/伺服器證書

  2. 不當的金鑰產生

    • 有時,用於生成證書的私鑰(例如,在 ECS 上的 F5 負載均衡器)創建不正確。

  3. CSR 不相符

    • 某些證書頒發機構 (CA) 可能會忽略 CSR 中請求的擴展,並返回具有不相容的 x509 v3 擴展的證書。

解析度

針對使用 F5 負載平衡器與 ECS 進行雲端層 (CT) 整合:

參考資料:ECS 管理指南

  1. 在 ECS 上產生私密金鑰

    • 登入 ECS 節點或連線的系統。
    • 執行:
      • openssl genrsa -des3 -out server.key 2048
    • 輸入並確認密碼片語。
    • 請先移除密碼片語再將金鑰上傳至 ECS。
    • 設定權限:
      • chmod 0400 server.key
  2. 使用 ECS 金鑰在 F5 上產生憑證
    • 請按照相關 Dell EMC ECS 與 F5 整合指南中的步驟操作。

  3. 將憑證匯入 Data Domain

    注意:確保導入的證書是簽署終結點證書的 CA 證書 ,而不是終結點證書本身。

    針對 DD UI (HTTPS 存取):

    1. 從 Data Domain 產生 CSR

      • 使用 DD 的內建工具產生 CSR。
      • 將 CSR 提交至您的 CA 以供簽署。

    2. 將已簽署的憑證匯入 DD

      • 確保返回的證書具有適當的擴展名(即,伺服器或無)。

    3. 故障診斷

      • 如果匯入失敗,請使用下列方式檢查憑證:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • 查看 x509 v3 擴展的相容性。

    提示:使用 CSR 方法時,私密金鑰永不離開 DD,確保安全處理。 

    其他資訊

    憑證驗證範例

    錯誤 「無效的 CA 證書 x509 v3 擴展」 的常見原因是導入的證書不是 根 CA 或缺少正確的 x509 擴展。

    範例:不正確的端點憑證:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • 此證書適用於 Web 伺服器,而不是 CA。它不能作為雲端層 DD 中的受信任憑證使用。

    正確的中間 CA 憑證:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • 這是 CA 憑證,但不是 自我簽署。它由根 CA 簽名。

    正確的根 CA 憑證:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • 這個自我簽署的根 CA 憑證是匯入 DD 的正確憑證。
        • 如果需要,還可以導入中間 CA 證書,但信任驗證通常需要根 CA。

    範例:不正確的 UI 憑證延伸:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • 此憑證標示用於用戶端驗證和電子郵件保護 - 不適合 DD UI HTTPS 存取。

      建議的 DD UI 產生 CSR:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • 確保 CA 在簽署證書時遵循請求的擴展。

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。