PowerScale:OneFS的:证书续订后 SED 外部密钥管理器出错

Summary: 当允许向外部密钥管理器注册的证书过期时,证书将续订,节点无法再连接,并在状态列中显示“ERROR”。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

这仅适用于按以下项连接到外部密钥管理器的 SED 节点: https://infohub.delltechnologies.com/en-US/l/dell-powerscale-onefs-security-considerations/external-key-manager-10/
并且节点之前已连接并按预期工作,直到证书被允许过期,然后续订(没有对配置进行其他更改)。
验证密钥管理器使用的 SSL 证书:

isi keymanager kmip servers list

从输出中获取 ID

isi keymanager kmip servers view <ID>

从节点上的 CLI 运行以下命令:

/usr/bin/isi_km_diag status

在输出中,您将查找表示密钥库域 [SEDS] status = [9008, [ISI_KM_SERVER_UNREACHABLE]]
 
的行在密钥管理器错误日志中,您可能会看到 PowerScale 节点尝试使用过期证书进行连接的故障。

在节点上的 CLI 中,您会在 /var/log/中找到类似于以下内容的消息isi_km_d.log
 
2024-02-15T17:12:06.599757+00:00 <3.3> isilon-5(id5) isi_km_d[2395]: [0x801da2000]key_mgr:未能连接到 KMIP 服务器!
2024-02-15T17:12:06.599812+00:00 <3.3> isilon-5(id5) isi_km_d[2395]:[0x801da2000]key_mgr:[标准数据]未能初始化提供程序![9007,ISI_KM_KMIP_SERVER_UNREACHABLE]

要验证问题是否存在于群集中的所有节点上,请执行以下操作:

isi keymanager sed status

Cause

PowerScale 节点正在尝试使用旧证书连接到 kmip 服务器。

Resolution

请尽快联系支持部门以打开 SR 并引用此知识库文章。
请勿重新启动节点或重新启动 isi_km_d 服务。

Affected Products

Isilon
Article Properties
Article Number: 000223971
Article Type: Solution
Last Modified: 07 Nov 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.