Домен даних: Імпорт SSL-сертифікатів не вдається через "Invalid x509 v3 Extension" для хмарного рівня або інтерфейсу

摘要: Під час імпорту SSL-сертифіката для Data Domain Cloud Tier (CT) або DD UI може виникнути помилка, що вказує на недійсне розширення x509 v3. Ця база пояснює причину та пропонує кроки розв'язання обох сценаріїв. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Під час налаштування SSL для:

  • Інтеграція з хмарним рівнем (наприклад, з ECS за допомогою HTTPS), або
  • Доступ до інтерфейсу DD за допомогою зовнішньо підписаного сертифіката,

Може виникнути наступна помилка:

Invalid CA certificate x509 v3 extension

Додаткові записи в журналі можуть бути розміщені у /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

Ця помилка може виникнути з однієї або кількох із наступних причин:

  1. Неправильний тип сертифіката

    • Для хмарного рівня: Сертифікат має бути сертифікатом CA, а не сертифікатом кінцевої точки.
    • Для інтерфейсу DD: Сертифікат має бути сертифікатом хоста/сервера без невідповідних розширень.

  2. Неправильна генерація ключів

    • Іноді приватний ключ, який використовувався для генерації сертифіката (наприклад, у ECS для балансування навантаження F5), створювався неправильно.

  3. Невідповідність CSR

    • Деякі центри сертифікації (CA) можуть ігнорувати запитувані розширення в CSR і повертати сертифікат із несумісними розширеннями x509 v3.

解析度

Для інтеграції Cloud Tier (CT) з ECS за допомогою F5 Load Balancer:

Посилання: Керівництво з адміністрування ECS

  1. Генерація приватного ключа на ECS

    • Увійдіть у вузол ECS або підключену систему.
    • Бігти:
      • openssl genrsa -des3 -out server.key 2048
    • Введіть і підтвердьте пароль.
    • Видаліть пароль перед завантаженням ключа в ECS.
    • Встановіть дозволи:
      • chmod 0400 server.key
  2. Генерація сертифіката на F5 за допомогою ключа ECS
    • Дотримуйтесь кроків у відповідному посібнику з інтеграції Dell EMC ECS з F5 .

  3. Імпорт сертифіката в домен даних

    Примітка: Переконайтеся, що імпортований сертифікат — це сертифікат CA , який підписав сертифікат кінцевої точки, а не сам сертифікат кінцевої точки.

    Для DD UI (HTTPS Access):

    1. Генерація CSR з домену даних

      • Використовуйте вбудовані інструменти DD для генерації CSR.
      • Подайте CSR до вашого CA для підписання.

    2. Імпортуйте підписаний сертифікат у DD

      • Переконайтеся, що повернений сертифікат має відповідні розширення (тобто серверні або без них).

    3. Виправлення неполадок

      • Якщо імпорт не вдається, перевірте сертифікат за урахуванням:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • Перегляньте розширення x509 v3 на сумісність.

    Кінчик: Приватний ключ ніколи не залишає DD при використанні методу CSR, що забезпечує безпечну обробку. 

    其他資訊

    Приклади перевірки сертифікатів

    Поширеною причиною помилки «Invalid CA certificate x509 v3 extension» є імпорт сертифіката, який не є кореневим CA або не має правильних розширень x509.

    Приклад: Неправильний сертифікат кінцевої точки:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • Цей сертифікат призначений для веб-сервера, а не для CA. Його не можна використовувати як довірений сертифікат у DD для Cloud Tier.

    Правильний сертифікат середнього рівня CA:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • Це сертифікат CA, але він не самопідписаний. Він підписується кореневим CA.

    Правильний кореневий сертифікат CA:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • Цей самопідписаний кореневий сертифікат CA є правильним для імпорту в DD.
        • Ви також можете імпортувати проміжні сертифікати CA, якщо потрібно, але кореневий CA зазвичай потрібен для перевірки довіри.

    Приклад: Неправильні розширення сертифіката UI:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • Цей сертифікат позначений для автентифікації клієнта та захисту електронної пошти — не підходить для доступу через DD UI HTTPS.

      Рекомендована генерація CSR для DD-інтерфейсу:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • Переконайтеся, що CA дотримується запитаних продовжень при підписанні сертифіката.

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。