Det gick inte att skapa CloudPools-kontot eller så gick det inte att nå CloudPools-kontot med meddelandet: Clapi-fel: CL_SSL_CACERT

Följande fel visas när du försöker skapa ett CloudPools-konto:

Account Create Failed. The CloudPools account did not create due to the following error: Account validation failed to connect to remote server: clapi error: CL_SSL_CACERT; Peer certificate cannot be authenticated with known CA certificates.

Samma fel visas även efter uppgradering till OneFS 8.2 när befintliga CloudPools-konton visas.

Det går inte att skapa CloudPools-kontot med det här felet om rotcertifikaten inte har installerats korrekt. Samma sak med mellanliggande självsignerade certifikat

Om det finns en uppgradering till OneFs v8.2 sker detta när en statisk lista över certifikat migreras till det nya arkivet. Det här arkivet innehåller inte certifikat som har installerats (till exempel ECS-certifikatet) på systemet för CloudPools och ingår inte i den här listan.

Lös problemet genom att följa stegen nedan.

1. Kör följande kommando för att dumpa en lista med certifikat från CloudPools-servern till en textfil:

   openssl s_client -connect <cloudpool_server>:443 -showcerts -certform PEM > cert.txt

2. Från och med cert.txt finns de certifikatkomponenter som behövs mellan raderna som börjar med:
   -----BEGIN CERTIFICATE----- AND -----END CERTIFICATE-----

3. Kopiera det sista certifikatet, eftersom det ska vara rotcertifikatutfärdarens certifikat. Kopiera och klistra in allt från -----BEGIN CERTIFICATE----- till -----END CERTIFICATE----- i en ny fil med namnet /ifs/.ifsvar/modules/cloud/cacert/<some_cloudpools_root_cert.pem>.

4. Ändra katalogen till platsen för certifikatet.

   cd /ifs/.ifsvar/modules/cloud/cacert

5. Beräkna hashen för certifikatfilen med kommandot:

   openssl x509 -hash -noout -in <some_cloudpools_root_cert>.pem

6. Skapa en symbolisk länk till certifikatet med hjälp av utdata från hash-värdekommandot:

   ln -s <some_cloudpools_root_cert>.pem <hash_value>.suffix

   Observera:<Suffixet> börjar som 0. Om det finns en kollision mellan befintliga symboliska länkfilnamn, använd nästa nummer som suffix.

7. Gå igenom CloudPools-kontot och skapa processen igen.

   Om versionen är OneFs 8.2 eller senare fortsätter du med följande steg efter behov:

8. Kör kommandot certificate import när du står på sökvägen "/ifs/.ifsvar/modules/cloud/cacert."

   Exempel:

   # ls -lh 94d536c0.0
   lrwxr-xr-x     1 root  wheel    39B Jun  3 10:35 94d536c0.0 -> cert_cloud account.pem
   # isi certificate authority import --certificate-path=cert_account-URI.pem --description="ECS CA" --name=ecs_cert

9. Hitta de ecs_cert som lagts till i listan över utfärdare med kommandot:

   #isi certificate authority list

10. Starta om isi_cpool_d tjänsten med kommandot:

    # isi services -a isi_cpool_d disable

    Vänta i 30 sekunder och kör sedan kommandot:

    # isi services -a isi_cpool_d enable

11. Bekräfta att molnkontot kan nås och att tillståndet är ok med kommandot:

    # isi cloud accounts view <account-name>

Om administratören aktiverar SSL-certifikatvalidering när du skapar ett konto eller ändrar det här alternativet från "hoppa över" till "hoppa inte över" måste servrarna ha korrekt installerade rotcertifikat. Annars kan CloudPools inte ansluta till molnleverantörer och en SSL_CACERT_ERROR genereras.

När ett konto har konfigurerats för att utföra verifiering av SSL-certifikat utförs validering när CloudPools ansluter till molnleverantören för det kontot och verifieringen kan misslyckas. När det inträffar skapas en klusterhändelselogghändelse som 1100000009 CPOOL_CERTIFICATE_ERROR.

Om lagringstjänstprovidern har installerat ett självsignerat certifikat bör det också visas i certifikatkedjan när du ansluter till servern. Hitta det självsignerade certifikatet eftersom det är rotcertifikatet för att autentisera servern.

Endast rotcertifikat krävs för förinstallation på CloudPools-klustret. Om webbplatsen distribuerar en SSL-proxyserver kan det vara nödvändigt att även hämta och installera de mellanliggande certifikaten.

Om kopian av rotcertifikatet är i ett annat format än PEM-kodat format använder du OpenSSL-kommandona för att göra PEM-konvertering innan du installerar det.