Vencimiento y solución del certificado de Dell Networking OS10

Las versiones específicas de OS10 (consulte Versiones de software afectadas) contienen un certificado predeterminado que se utiliza para el establecimiento de pares de VLT y la formación de clústeres SFS. Este certificado predeterminado vence el 27 de julio de 2021. Después del vencimiento, los problemas de accesibilidad del tráfico se producen cuando uno de estos switches tiene un reinicio posterior del switch, una solapa de enlace, un cambio de configuración activado por el operador, vMotion y otros eventos de red. El vencimiento del certificado no tiene ningún mensaje correspondiente en syslog, traps o en la interfaz del usuario.

Versiones de software afectadas, por modelo:
 

Versión de OS10	Modelo
10.3.2ER3P1	Solo S5148F
10.4.0E. De R3SP2 a 10.4.0E. R4SP2	MX9116 y MX5108 únicamente
De 10.4.1.4 a 10.4.3.6P5	Todos los modelos de OS10 (incluidos MX9116, MX5108 y S5148F)
De 10.5.0.0 a 10.5.0.7P3	Todos los modelos de OS10 (incluidos MX9116 y MX5108)

Solución

NOTA: Consulte la hoja técnica adjunta para obtener una versión EN PDF de esta resolución que puede proporcionar al ingeniero que realizará la actualización.

NOTA: Los usuarios de Ethernet de back-end de Isilon no deben seguir los procedimientos que se describen en este artículo. Para Isilon, los usuarios pueden consultar el artículo de la base de conocimientos 185548: Vencimiento del certificado del switch Dell en los switches Dell Z9100-ON utilizados para Ethernet de back-end de Isilon para obtener detalles sobre el problema. El artículo requiere un inicio de sesión del cliente.

NOTA:  Los usuarios del dispositivo Gen3 de ECS no deben seguir los procedimientos que se describen en este artículo. Para ECS, los usuarios pueden consultar el artículo de la base de conocimientos 185691: DTA 185691: ECS: El vencimiento del certificado de seguridad del switch Dell OS10 X.509v3 en los switches de front-end y back-end de ECS puede provocar una falta de disponibilidad de datos para obtener detalles sobre el problema. El artículo requiere un inicio de sesión del cliente.

NOTA: Los usuarios de versiones afectadas de 10.3.2.x a 10.4.2.x, la actualización de certificados no está disponible. Los usuarios deben actualizar a 10.4.3.0 o posterior (10.5.0.x o posterior para MX) y deben seguir la tabla a continuación.   

NOTA:  Para los usuarios de PowerEdge MX en 10.4.0E (R3SP2) - 10.4.0E (R4SP2), si no es posible actualizar a la base más reciente antes del 27 de julio del 2021, comuníquese con el soporte técnico de Dell para obtener ayuda con la actualización del certificado predeterminado.

NOTA: Las siguientes versiones de OS10 incluyen el nuevo certificado predeterminado que aborda este problema de vencimiento de certificado:
ALERTA 10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

: Para los usuarios que optan por actualizar al firmware más reciente , DEBEseguir la ruta de actualización que se indica en la sección Preparación para una actualización del documento Guía de instalación, actualización y cambio a una versión anterior de Dell EMC SmartFabric OS10 en nuestro sitio de soporte.

Para las versiones 10.4.3.0 a 10.5.0.7P3, los usuarios deben seguir la resolución según se indica en esta tabla para evitar problemas de red debido al vencimiento predeterminado del certificado:       
 

Categoría de implementación	Resolución recomendada	Como alternativa, si es posible realizar una actualización.
Switches que no son MX en modo no VLT que no es SFS	No se requiere ninguna acción.	No se requiere ninguna acción.
MX- Modo de SFS	Actualice el certificado predeterminado a un nuevo certificado predeterminado mediante los scripts proporcionados por Dell en todos los nodos. Para que el nuevo certificado predeterminado esté vigente, debe realizar lo siguiente: - Reinicie SFS primario : además, en la implementación de múltiples clústeres, reinicie uno de los pares de VLT en cada par de VLT.	Actualice a >=10.5.1.7 antes del 27 de julio de 2021 Siga la ruta de actualización que se encuentra en la Guía del usuario de Dell EMC OpenManage Enterprise-Modular Edition para chasis PowerEdge MX7000Base de solucionesMX7000: la página 15-17 muestra las líneas base de firmware de componentes compatibles. Matriz de actualización de firmware de OS10 : en la página 22, se detalla la ruta de actualización para los switches OS10.
Modo de switch completo de MX
Switches en modo no SFS de VLT	Actualice el certificado predeterminado a un nuevo certificado predeterminado mediante los scripts proporcionados por Dell en todos los nodos. Para que el nuevo certificado predeterminado esté vigente, debe hacer "shut" y "no shut" en la interfaz/enlace VLTi del switch primario de VLT.	Actualice a la versión >=10.5.1.0 antes del 27 de julio de 2021
VxRail- SFS: un solo rack	Actualice el certificado predeterminado a un nuevo certificado predeterminado mediante los scripts proporcionados por Dell en todos los nodos. Para que el nuevo certificado predeterminado esté vigente, debe realizar lo siguiente: - Reinicie SFS primario : además, en la implementación de múltiples clústeres, reinicie uno de los pares de VLT en cada par de VLT.	Actualice a la versión >=10.5.2.2 antes del 27 de julio de 2021
VxRail SFS, múltiples racks
S5148	Actualice a 10.4.3.x y, a continuación, actualice el certificado predeterminado a un nuevo certificado predeterminado mediante los scripts proporcionados por Dell en todos los nodos. Actualice el certificado predeterminado a un nuevo certificado predeterminado mediante los scripts proporcionados por Dell en todos los nodos. Para que el nuevo certificado predeterminado esté vigente, debe hacer "shut" y "no shut" en la interfaz/enlace VLTi del switch primario de VLT.	Igual que la resolución recomendada.

NOTA: Se requiere una ventana de mantenimiento para la solapa del enlace VLTi o el reinicio del switch, ya que esto puede interrumpir el flujo de tráfico de red. Al calcular la ventana de mantenimiento:       

• Para script, espere de 3 a 5 minutos por dispositivo. Mientras el script está en ejecución, el tráfico no se ve afectado.
• Para actualizar OS10, calcule 30 minutos por nodo cuando vaya de una versión a la siguiente.

El paquete de script "Actualización predeterminada del certificado X.509 de Dell Networking" está disponible en Dell Digital Locker con sus derechos de OS10. El nombre de archivo del paquete de script es "cert_upgrade_script", e incluye un archivo README que contiene instrucciones detalladas sobre cómo ejecutar los scripts. Haga clic en un switch en su cuenta de DDL y, a continuación, vaya a descargas disponibles para ver el paquete de script.

Para obtener más detalles sobre cómo iniciar sesión y descargar el script, consulte Dell Networking Cómo descargar OS10 Cert_Upgrade_Script desde Dell Digital Locker
Los detalles paso a paso sobre cómo completar la actualización del certificado están disponibles en estos artículos:

Seleccione una

actualización deDell Networking OS10 Cómo ejecutar una actualización de certificado desde Linux

Dell Networking OS10 Cómo ejecutar una actualización de certificado directamente desde el switch

OS10
Dell Networking OS10 Cómo ejecutar la actualización del certificado desde Windows con Python

Este es un video que muestra el proceso para actualizar el certificado mediante un script de Python.

NOTA: Según la ubicación en la que tenga guardado el archivo de script, es posible que tenga una ruta de archivo diferente a la que se utiliza en este video.





PRECAUCIÓN: Todos los switches de un clúster o VLT deben tener el mismo certificado instalado para la comunicación del clúster o VLT. Es obligatorio ejecutar el script en todos los nodos del clúster y VLT durante la misma ventana de mantenimiento.

Después de actualizar el certificado predeterminado en los switches, tenga en cuenta lo siguiente:      

• Si cambia a una versión anterior otra versión de software que tiene el certificado predeterminado anterior, es posible que vuelva a experimentar el problema.
• Si inicia en otra partición que aún tiene un certificado predeterminado antiguo, es posible que experimente el problema nuevamente.
• Si reemplaza un switch con una versión mediante el certificado predeterminado anterior, es posible que experimente el problema nuevamente.

En caso de que se produzca alguno de estos escenarios, debe:     

•   Utilice el script para volver a actualizar el certificado predeterminado.

ALERTA: El certificado no se utiliza cuando todos los sistemas de un clúster utilizan 10.5.1.0 o superior. Si el clúster se ejecuta con versiones mixtas de OS10 y algunos nodos ejecutan 10.5.0.x y versiones anteriores. A continuación, los sistemas que ejecutan 10.5.1.x o superior deben ejecutar el script para instalar el nuevo certificado para que los nodos formen un clúster.

Algunos switches nuevos que se envían con 10.4.3 o 10.5.0 ya tienen instalado un nuevo certificado predeterminado. Además, algunos switches de reemplazo de servicios tienen un nuevo certificado predeterminado instalado. Estas unidades se identifican mediante un adhesivo en la unidad que dice "Cert Updated".

Para utilizar este switch en un clúster de VLT o SFS  

• Todos los switches del clúster deben tener instalado el nuevo certificado predeterminado.