Не вдалося створити обліковий запис CloudPools або обліковий запис CloudPools недоступний із повідомленням: помилка clapi: CL_SSL_CACERT

При спробі створити обліковий запис CloudPools з'являється така помилка: 
Ця ж помилка з'являється і після оновлення до OneFS 8.2, під час перегляду існуючих облікових записів CloudPools.

Не вдається створити обліковий запис CloudPools із цією помилкою, якщо кореневі сертифікати встановлені неправильно. Те ж саме і з проміжними самопідписаними сертифікатами.

Якщо відбувається оновлення до OneFs v8.2, це відбувається в міру міграції статичного списку сертифікатів в новий магазин. Це сховище не включає сертифікати, які були встановлені (наприклад, сертифікат ECS) у системі для CloudPools, і не входять до цього списку.

Дотримуйтеся наведених нижче інструкцій, щоб вирішити проблему.

1. Виконайте наступну команду, щоб скинути список сертифікатів із сервера CloudPools у текстовий файл: openssl s_client -connect <cloudpool_server>:443 -showcerts -certform PEM > cert.txt
2. Починаючи з cert.txt, компоненти сертифіката, які потрібні, знаходяться між рядками, які починаються зі слів -----BEGIN CERTIFICATE----- І -----END CERTIFICATE-----
3. Скопіюйте останній сертифікат, оскільки це має бути сертифікат ROOT CA від центру підпису. Скопіюйте та вставте все від -----BEGIN CERTIFICATE----- до -----END CERTIFICATE----- у новий файл під назвою /ifs/.ifsvar/modules/cloud/cacert/<some_cloudpools_root_cert.pem>.
4. Змініть директорію на розташування сертифіката, cd /ifs/.ifsvar/modules/cloud/cacert.
5. Обчисліть хеш файлу сертифіката за допомогою команди: openssl x509 -hash -noout -in <some_cloudpools_root_cert.pem>
6. Створіть символьне посилання на сертифікат за допомогою виведення команди хеш-значення: ln -s <some_cloudpools_root_cert.pem>< hash_value.suffix>

7. Пройдіть через обліковий запис CloudPools і створіть процес заново.

Якщо версія OneFs 8.2 або новіша, за потреби виконайте наступні кроки:

8. Виконайте команду імпорту сертифіката, коли ви стоїте на шляху "/ifs/.ifsvar/modules/cloud/cacert."

9. Знайдіть ecs_cert , доданий до списку повноважень командою: #isi список центрів сертифікації
10. Перезапустіть isi_cpool_d службу за допомогою команди: # isi services -a isi_cpool_d відключити

11. Переконайтеся, що Cloud Account доступний і цей стан дозволений за допомогою команди: # Хмарні облікові записи ISI Переглянути <ім'я облікового запису>

Якщо адміністратор вмикає перевірку SSL-сертифіката під час створення облікового запису або зміни цієї опції з 'skip' на 'not skip', сервери повинні мати правильно встановлені кореневі сертифікати. В іншому випадку CloudPools не вдається підключитися до хмарних провайдерів, і генерується SSL_CACERT_ERROR.

Коли обліковий запис налаштовано на перевірку сертифіката SSL, перевірка виконується щоразу, коли CloudPools підключається до постачальника хмари цього облікового запису, і перевірка може не вдатися. Коли це відбувається, створюється подія журналу подій кластера, наприклад 1100000009 CPOOL_CERTIFICATE_ERROR.

Якщо постачальник послуг зберігання встановив самопідписаний сертифікат, він також має відображатися в ланцюжку сертифікатів під час підключення до сервера. Знайдіть самопідписаний сертифікат, оскільки він є кореневим сертифікатом для автентифікації сервера.

Лише кореневі сертифікати мають бути попередньо встановлені на кластері CloudPools. Якщо на сайті розгорнутий SSL Proxy сервер, може знадобитися отримати і встановити проміжні сертифікати. 

Якщо копія кореневого сертифіката має формат, відмінний від формату PEM-кодування, використовуйте команди OpenSSL для перетворення PEM перед його встановленням.