Data Domain:SSL 证书导入失败,云层或 UI 显示“无效的 x509 v3 扩展”

摘要: 导入 Data Domain Cloud Tier (CT) 或 DD UI 的 SSL 证书时,可能会发生错误,指示 x509 v3 扩展无效。本知识库文章解释了原因,并提供了这两种情况的解决步骤。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

在以下 SSL 配置期间:

  • Cloud Tier 集成 (例如,与使用 HTTPS 的 ECS 集成),或
  • 使用外部签名证书访问 DD UI

可能会遇到以下错误:

Invalid CA certificate x509 v3 extension

其他日志条目可能出现在 /ddr/var/log/messages.engineering

  • sms: NOTICE: smu_sec_extract_certs_from_PKCS12: **** Invalid host certificate x509 v3 extension. https needs either server or no extension
sms: NOTICE: sms_trust_add_app_certs_job: **** Invalid host certificate x509 v3 extension.

原因

出现此错误的原因可能有以下一个或多个:

  1. 证书类型不正确

    • 对于 Cloud Tier:证书必须是 CA 证书,而不是端点证书。
    • 对于 DD UI:证书必须是没有不当扩展名的 主机/服务器证书

  2. 不正确的密钥生成

    • 有时,用于生成证书的私钥(例如,在 ECS 上的 F5 负载平衡器)创建错误。

  3. CSR 不匹配

    • 某些证书颁发机构 (CA) 可能会忽略 CSR 中请求的扩展,并返回具有不兼容的 x509 v3 扩展的证书。

解析度

对于使用 F5 负载平衡器与 ECS 的 Cloud Tier (CT) 集成:

参考:ECS 管理指南

  1. 在 ECS 上生成私钥

    • 登录 ECS 节点或连接的系统。
    • 运行:
      • openssl genrsa -des3 -out server.key 2048
    • 输入并确认密码。
    • 在将密钥上传到 ECS 之前删除密码。
    • 设置权限:
      • chmod 0400 server.key
  2. 使用 ECS 密钥在 F5 上生成证书
    • 按照 采用 F5 的相关 Dell EMC ECS 集成指南中的步骤进行作。

  3. 将证书导入 Data Domain

    提醒:确保导入的证书是签署端点证书的 CA 证书 ,而不是端点证书本身。

    对于 DD UI(HTTPS 访问):

    1. 从 Data Domain 生成 CSR

      • 使用 DD 的内置工具生成 CSR。
      • 将 CSR 提交给 CA 进行签名。

    2. 将签名证书导入 DD

      • 确保返回的证书具有适当的扩展名(即,服务器或无)。

    3. 故障处理

      • 如果导入失败,请使用以下命令检查证书:
        • openssl x509 -in /path/to/certificate.pem -text -noout
      • 查看 x509 v3 扩展的兼容性。

    提示:使用 CSR 方法时,私钥永远不会离开 DD,从而确保安全处理。 

    其他資訊

    证书验证示例

    “无效的 CA 证书 x509 v3 扩展名”错误的常见原因是导入的证书不是根 CA 或缺少正确的 x509 扩展名。

    示例:端点证书不正确:

      • Subject: CN=objects.ilandcloud.com
X509v3 Basic Constraints: critical
    CA:FALSE
      • 此证书适用于 Web 服务器,而不是 CA。它不能用作 DD for Cloud Tier 中的受信任证书。

    正确的中间 CA 证书:

      • Subject: CN=Let's Encrypt Authority X3
X509v3 Basic Constraints: critical
    CA:TRUE, pathlen:0
      • 这是 CA 证书, 但不是自签名证书。它由根 CA 签名。

    正确的根 CA 证书:

      • Subject: CN=ISRG Root X1
Issuer: CN=ISRG Root X1
X509v3 Basic Constraints: critical
    CA:TRU
      • 此自签名根 CA 证书是导入 DD 的正确证书。
        • 如果需要,您也可以导入中间 CA 证书,但信任验证通常需要根 CA。

    示例:UI 证书扩展名不正确:

    • X509v3 Extended Key Usage:
    TLS Web Client Authentication, E-mail Protection

    • 此证书标记为客户端身份验证和电子邮件保护 — 不适合 DD UI HTTPS 访问。

      建议的 DD UI CSR 代次:

    • adminaccess certificate cert-signing-request generate key-strength 4096bit \
  country ES state Madrid city SomeCity org-name DELL org-unit DPS \
  common-name www.example.com basic-constraint CA:FALSE
    • 在签署证书时,确保 CA 遵循请求的扩展。

    受影響的產品

    Data Domain

    產品

    Data Domain, ECS Appliance, ECS Appliance Software with Encryption, ECS Appliance Software without Encryption, Elastic Cloud Storage
    文章屬性
    文章編號: 000068703
    文章類型: Solution
    上次修改時間: 07 11月 2025
    版本:  5
    向其他 Dell 使用者尋求您問題的答案
    支援服務
    檢查您的裝置是否在支援服務的涵蓋範圍內。