Срок действия сертификата узла кластера CloudLink истек

CloudLink отображает сигнал тревоги:

Cluster node certificate is expired.

Когда срок действия сертификатов узла кластера истекает, это может привести к рассинхронизации кластера. В кластере CloudLink webUI > SYSTEM >проверьте, не находится ли состояние синхронизации Off. Кроме того, существует потенциальная проблема безопасности, связанная с сертификатом с истекшим сроком действия.

CloudLink 8.1 и выше:

Начиная с версии CloudLink 8.1, вы можете продлить SVMCLUSTER CA и cluster node сертификаты из веб-интерфейса пользователя CloudLink. Перед изменением сертификатов создайте моментальные снимки и резервные копии всех узлов CloudLink. 

Перейдите в раздел SYSTEM > Backup > > Generate New Backup , а затем Actions > Download Backup. Кроме того, убедитесь, что пользователь может найти свой резервный ключ CloudLink (cckey.pemПеред

перезагрузкой виртуальных машин CloudLink перейдите в SYSTEM > Vault и убедитесь, что для режима разблокировки хранилища установлено значение Автоматически. Если для параметра «Режим разблокировки» установлено значение «Вручную», необходимо убедиться, что пользователь знает секретные коды хранилища, или временно изменить режим на «Автоматически».

НЕ изменяйте параметр SVMCLUSTER CA Если кластер не синхронизирован
!Это приводит к несогласованности, когда каждый узел CloudLink имеет разные значенияSVMCLUSTER CA Кроме того, сложно восстановить синхронизацию кластера.

Если кластер не синхронизирован, необходимо обновить сертификаты узлов кластера на каждом узле CloudLinknode. Перейдите в раздел SYSTEM > Cluster > Actions > Change Server Certificate. Выполните это действие для всех узлов CloudLink, а затем перезагрузите все узлы CloudLink (не одновременно). Это должно привести кластер в состояние синхронизации, и в состоянии синхронизации должно отображаться значение «OK».

Если кластер не синхронизирован в течение длительного времени, повторная синхронизация может занять некоторое время. Проверьте узлы в кластере SYSTEM > и убедитесь, что вы не видите никаких ожидаемых исходящих пакетов. Это может занять несколько часов.

После восстановления синхронизации кластера можно изменить SVMCLUSTER CA. Перейдите в раздел SYSTEM >> Cluster Actions > Change CA Certificate. Это автоматически продлевает cluster node сертификаты, требующие повторной перезагрузки каждого узла CloudLink (не одновременно).

CloudLink 7.x.

В CloudLink 7.x нельзя продлить SVMCLUSTER CA или cluster node Сертификаты. Можно загрузить только модуль PEM с подписью источника сертификатов.

Ниже приведены инструкции по использованию OpenSSL для создания самозаверяющего сертификата, предназначенного для замены CloudLink 7.x SVMCLUSTER CA и cluster node Сертификаты:

1. Используйте любой сервер Linux (не CloudLink) и убедитесь, что OpenSSL установлен, выполнив команду openssl version
2. Создайте файл с именем template.cfg выполнив команду vi template.cfg и вставьте информацию в поле ниже.
3. Для записей, выделенных жирным шрифтом, измените и замените соответствующей информацией.

[req]
default_bits           = 2048
distinguished_name     = req_distinguished_name
req_extensions         = v3_req

[req_distinguished_name]
C =Country(2 letter code)
ST =State
L =Locality(city)
O =Organization
OU =OrgUnit
CN =CommonName

C_default =US
ST_default =utah
L_default =salt lake city
O_default =dell
OU_default =dell
CN_default =SVMCLUSTER CA

[ v3_req ]
subjectAltName   = @alt_names
keyUsage         = critical, digitalSignature, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth
basicConstraints = critical, CA:true, pathlen:1
subjectKeyIdentifier=hash

[alt_names]
DNS.1   = SVMCLUSTER CA

4. Выполните команду:

openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg  -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes

5. Перезапустите веб-службы CloudLink или перезагрузите все узлы CloudLink (НЕ одновременно).