Vytvoření účtu CloudPools se nezdařilo nebo se nedaří zobrazit zprávu: clapi error: CL_SSL_CACERT
Summary: Vytvoření účtu CloudPools se nezdařilo s chybou certifikátu.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Při pokusu o vytvoření účtu CloudPools se zobrazí následující chyba:
Stejná chyba se zobrazí také po upgradu na OneFS 8.2 při prohlížení stávajících účtů CloudPools.
Vytvoření účtu se nezdařilo. Účet CloudPools se nevytvořil kvůli následující chybě: Připojení ke vzdálenému serveru se nezdařilo při ověřování účtu: chyba clapi: CL_SSL_CACERT; Partnerský certifikát nelze ověřit pomocí známých certifikátů CA.
Stejná chyba se zobrazí také po upgradu na OneFS 8.2 při prohlížení stávajících účtů CloudPools.
Cause
Pokud kořenové certifikáty nejsou správně nainstalované, vytvoření účtu CloudPools selže s touto chybou. Totéž platí pro zprostředkující certifikáty podepsané svým držitelem.
Pokud dojde k upgradu na OneFs v8.2, dojde k němu, protože statický seznam certifikátů je migrován do nového úložiště. Toto úložiště nezahrnuje certifikáty, které byly nainstalovány (například certifikát ECS) do systému pro službu CloudPools a nejsou součástí tohoto seznamu.
Pokud dojde k upgradu na OneFs v8.2, dojde k němu, protože statický seznam certifikátů je migrován do nového úložiště. Toto úložiště nezahrnuje certifikáty, které byly nainstalovány (například certifikát ECS) do systému pro službu CloudPools a nejsou součástí tohoto seznamu.
Resolution
Tento problém vyřešíte pomocí následujícího postupu.
- Spuštěním následujícího příkazu vypište seznam certifikátů ze serveru CloudPools do textového souboru: openssl s_client -connect <cloudpool_server>:443 -showcerts -certform PEM > cert.txt
- Od cert.txt jsou potřebné součásti certifikátu mezi řádky, které začínají na -----BEGIN CERTIFICATE----- A -----END CERTIFICATE-----
- Zkopírujte poslední certifikát, protože by to měl být certifikát kořenové certifikační autority od podepisující autority. Zkopírujte a vložte vše z -----BEGIN CERTIFICATE----- do -----END CERTIFICATE----- do nového souboru s názvem /ifs/.ifsvar/modules/cloud/cacert/<some_cloudpools_root_cert.pem>.
- Změňte adresář na umístění certifikátu: cd /ifs/.ifsvar/modules/cloud/cacert.
- Vypočítejte hash souboru certifikátu pomocí příkazu: openssl x509 -hash -noout -in <some_cloudpools_root_cert.pem>
- Vytvořte symbolický odkaz na certifikát pomocí výstupu příkazu hash value: ln -s <some_cloudpools_root_cert.pem>< hash_value.suffix>
Poznámka:<Přípona> začíná jako 0. Pokud dojde ke kolizi existujícího názvu souboru symbolického odkazu, použijte jako příponu následující číslo.
- Projděte účet CloudPools a vytvořte proces znovu.
- Spusťte příkaz k importu certifikátu, když stojíte na cestě "/ifs/.ifsvar/modules/cloud/cacert".
Příklad:
# ls -lh 94d536c0.0
lrwxr-xr-x 1 kořenové kolo 39B Jun 3 10:35 94d536c0.0 -> cert_cloud account.pem
# isi certificate authority import --certificate-path=cert_account-URI.pem --description="ECS CA" --name=ecs_cert
# ls -lh 94d536c0.0
lrwxr-xr-x 1 kořenové kolo 39B Jun 3 10:35 94d536c0.0 -> cert_cloud account.pem
# isi certificate authority import --certificate-path=cert_account-URI.pem --description="ECS CA" --name=ecs_cert
- Najděte ecs_cert přidaného do seznamu autorit pomocí příkazu: #isi seznamu certifikačních autorit
- Restartujte službu isi_cpool_d příkazem: # isi services -a isi_cpool_d zakázat
Počkejte 30 sekund a poté spusťte příkaz: # isi services -a isi_cpool_d povolit
- Ověřte, zda je cloudový účet dostupný a tento stav je v pořádku, pomocí příkazu: # isi cloudové účty zobrazit <název účtu>
Additional Information
Pokud správce povolí ověření certifikátu SSL při vytváření účtu nebo při změně této možnosti z "přeskočit" na "nepřeskočit", musí mít servery správně nainstalované kořenové certifikace. V opačném případě se CloudPools nepřipojí k poskytovatelům cloudu a vygeneruje se SSL_CACERT_ERROR.
Když je účet nakonfigurovaný tak, aby prováděl ověřování certifikátu SSL, ověření se provádí vždy, když se CloudPools připojí k poskytovateli cloudu daného účtu, a ověření může selhat. Když k tomu dojde, vytvoří se událost protokolu událostí clusteru, jako je 1100000009 CPOOL_CERTIFICATE_ERROR.
Pokud poskytovatel služeb úložiště nainstaloval certifikát podepsaný svým držitelem, měl by se při připojení k serveru zobrazit také v řetězu certifikátů. Vyhledejte certifikát podepsaný svým držitelem, protože se jedná o kořenový certifikát pro ověření serveru.
Do clusteru CloudPools musí být předem nainstalovány pouze kořenové certifikáty. Pokud lokalita nasadí server proxy SSL, může být nutné získat a nainstalovat také zprostředkující certifikáty.
Pokud je kopie kořenového certifikátu v jiném formátu než v kódování PEM, proveďte před instalací převod PEM pomocí příkazů OpenSSL.
Když je účet nakonfigurovaný tak, aby prováděl ověřování certifikátu SSL, ověření se provádí vždy, když se CloudPools připojí k poskytovateli cloudu daného účtu, a ověření může selhat. Když k tomu dojde, vytvoří se událost protokolu událostí clusteru, jako je 1100000009 CPOOL_CERTIFICATE_ERROR.
Pokud poskytovatel služeb úložiště nainstaloval certifikát podepsaný svým držitelem, měl by se při připojení k serveru zobrazit také v řetězu certifikátů. Vyhledejte certifikát podepsaný svým držitelem, protože se jedná o kořenový certifikát pro ověření serveru.
Do clusteru CloudPools musí být předem nainstalovány pouze kořenové certifikáty. Pokud lokalita nasadí server proxy SSL, může být nutné získat a nainstalovat také zprostředkující certifikáty.
Pokud je kopie kořenového certifikátu v jiném formátu než v kódování PEM, proveďte před instalací převod PEM pomocí příkazů OpenSSL.
Affected Products
IsilonArticle Properties
Article Number: 000065641
Article Type: Solution
Last Modified: 15 Jan 2026
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.