Tworzenie konta CloudPools nie powiodło się lub konto CloudPools jest nieosiągalne z komunikatem: clapi error: CL_SSL_CACERT

Próba utworzenia konta CloudPools zwraca następujący błąd: 
Ten sam błąd pojawia się również po uaktualnieniu do OneFS 8.2 podczas przeglądania istniejących kont CloudPools.

Tworzenie konta CloudPools kończy się niepowodzeniem z tym błędem, jeśli certyfikaty główne nie są poprawnie zainstalowane. To samo dotyczy pośrednich certyfikatów z podpisem własnym.

W przypadku uaktualnienia OneFS do wersji 8.2 dzieje się tak podczas migracji statycznej listy certyfikatów do nowego magazynu. Ten magazyn nie zawiera certyfikatów, które zostały zainstalowane (takich jak certyfikat ECS) w systemie dla CloudPools i nie jest częścią tej listy.

Aby rozwiązać ten problem, wykonaj następujące czynności.

1. Uruchom następujące polecenie, aby zrzucić listę certyfikatów z serwera CloudPools do pliku tekstowego: openssl s_client -connect <cloudpool_server>:443 -showcerts -certform PEM > cert.txt
2. Od cert.txt potrzebne składniki certyfikatu znajdują się między wierszami zaczynającymi się od -----BEGIN CERTIFICATE----- I -----END CERTIFICATE-----
3. Skopiuj ostatni certyfikat, ponieważ powinien to być certyfikat ROOT CA z urzędu podpisującego. Skopiuj i wklej wszystko z certyfikatu -----BEGIN----- do certyfikatu -----END----- do nowego pliku o nazwie /ifs/.ifsvar/modules/cloud/cacert/<some_cloudpools_root_cert.pem>.
4. Zmień katalog na lokalizację certyfikatu, cd /ifs/.ifsvar/modules/cloud/cacert.
5. Oblicz skrót pliku certyfikatu przy użyciu polecenia: openssl x509 -hash -noout -in <some_cloudpools_root_cert.pem>
6. Utwórz dowiązanie symboliczne do certyfikatu, korzystając z danych wyjściowych polecenia wartości skrótu: ln -s <some_cloudpools_root_cert.pem>< hash_value.sufiks>

7. Przejdź przez konto CloudPools i ponownie utwórz proces.

Jeśli wersja to OneFs 8.2 lub nowsza, wykonaj następujące czynności zgodnie z potrzebami:

8. Uruchom polecenie importu certyfikatu, gdy stoisz na ścieżce "/ifs/.ifsvar/modules/cloud/cacert".

9. Znajdź ecs_cert dodane do listy uprawnień za pomocą polecenia: #isi lista urzędów certyfikacji
10. Uruchom ponownie usługę isi_cpool_d pomocą polecenia: # isi services -a isi_cpool_d wylacz

11. Potwierdź, że konto w chmurze jest osiągalne i że stan jest OK za pomocą polecenia: # Konta w chmurze ISI view <nazwa-konta>

Jeśli administrator włączy weryfikację certyfikatu SSL podczas tworzenia konta lub zmiany tej opcji z "skip" na "not skip", serwery muszą mieć poprawnie zainstalowane certyfikaty główne. W przeciwnym razie CloudPools nie może połączyć się z dostawcami usług chmurowych i zostanie wygenerowany SSL_CACERT_ERROR.

Jeśli konto jest skonfigurowane do przeprowadzania weryfikacji certyfikatu SSL, weryfikacja jest wykonywana za każdym razem, gdy CloudPools łączy się z dostawcą rozwiązań chmurowych tego konta, a weryfikacja może zakończyć się niepowodzeniem. W takim przypadku tworzone jest zdarzenie dziennika zdarzeń klastra, takie jak 1100000009 CPOOL_CERTIFICATE_ERROR.

Jeśli dostawca usług pamięci masowej zainstalował certyfikat z podpisem własnym, powinien on również pojawić się w łańcuchu certyfikatów podczas łączenia się z serwerem. Znajdź certyfikat z podpisem własnym, ponieważ jest to certyfikat główny do uwierzytelniania serwera.

Tylko certyfikaty główne są wymagane do wstępnej instalacji w klastrze CloudPools. Jeśli lokacja wdraża serwer proxy SSL, może być konieczne również uzyskanie i zainstalowanie certyfikatów pośrednich. 

Jeśli kopia certyfikatu głównego jest w formacie innym niż format zakodowany w formacie PEM, użyj poleceń OpenSSL, aby wykonać konwersję PEM przed zainstalowaniem certyfikatu.