Plate-forme de gestion PowerFlex : Échec du déploiement avec le message « Problème de certificat SSL : Impossible d’obtenir le certificat de l’émetteur »

Scénario

• L’appliance PFxM utilise un certificat SSL signé sur mesure
• Tentative de déploiement de nouveaux nœuds HCI de stockage uniquement
• Tentative d’extension d’un groupe de ressources HCI Stockage uniquement actuel
• Tentative de mise à niveau d’un groupe de ressources HCI Stockage uniquement actuel

La deployment.log du Thin Deployer présente les éléments suivants :

ERROR [2023-12-06T15:10:47.435192] 56708: service_deployment.rb:1858:in `process_ansible_errors': Error Message: No provider of '+nmon' found.
DEBUG [2023-12-06T15:10:47.435484] 56708: service_deployment.rb:1868:in `process_ansible_errors': errpr_desc = No provider of '+nmon' found.; additional_error_check = false

Cette erreur pointe vers le package nmon comme n’étant pas disponible. Il peut s’agir de n’importe quel package RPM du référentiel.

Le fichier *.out de l’utilitaire de déploiement dynamique lié aux nœuds défaillants affiche les éléments suivants :

" - [|] Error trying to read from 'https://10.1.0.1/httpshare/download/8aaa812487be83780187be8d264c1aad/os/VxFlex4.0.1SLES15.3Repo/dellemc_ism'",
" - Download (curl) error for 'https://10.1.0.1/httpshare/download/8aaa812487be83780187be8d264c1aad/os/VxFlex4.0.1SLES15.3Repo/dellemc_ism/content':",
"Error code: Curl error 60",
"Error message: SSL certificate problem: unable to get issuer certificate",

Le même problème se produit lors de l’utilisation de curl à partir des nœuds Stockage uniquement/HCI :

#curl https://10.1.1.1/httpshare/download/8aaa812487be83780187be8d264c1aad/os/VxFlex4.0.1SLES15.3Repo/dellemc_ism/content -o context.txt 
% Total  % Received  % Xferd  Average  Speed   Time      Time      Time      Current
                              Dload    Upload  Total     Spent     Left      Speed
0   0    0   0       0   0    0        0       --:--:--  --:--:--  --:--:--  0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.haxx.se/docs/sslcerts.html

Impact

Les nouveaux déploiements et extensions ou mises à niveau des groupes de ressources échouent.

Lorsque vous remplacez le certificat d’entrée SSL par défaut par un certificat SSL personnalisé signé par une autorité de certification externe, les nœuds ne reçoivent pas de copie du nouveau certificat d’autorité de certification. Le système d’exploitation utilise ce certificat d’autorité de certification pour vérifier et valider les certificats SSL signés. Si le système d’exploitation n’approuve pas le nouveau certificat CA, le téléchargement du référentiel est rejeté.

Procédure :

Pour un nœud HCI de stockage uniquement basé sur SLES :

1. Copiez l’intégralité du certificat de la chaîne d’autorité de certification racine (format PEM) dans /etc/pki/trust/anchors/
2. Exécutez la commande suivante : update-ca-certificates
    

Pour un nœud HCI de stockage uniquement basé sur RHEL :

1. Copiez l’intégralité du certificat de la chaîne d’autorité de certification racine (format PEM) dans /etc/pki/ca-trust/source/anchors/
2. Exécutez la commande suivante : update-ca-trust

Chaîne d’autorité de certification racine complète = autorité de certification racine + autorités de certification intermédiaires (le cas échéant)
 

Versions concernées :

PowerFlex Manager 4.x

Version corrigée :

PowerFlex Manager 4.6