Истечение срока действия сертификата и решение Dell Networking OS10
Эта статья создана для решения проблемы, когда 27 июля 2021 года истекает срок действия сертификата безопасности OS10 x.509v3. Пакет сценариев «Обновление сертификатов Dell Networking по умолчанию X.509» доступен в Dell Digital Locker с вашей лицензией OS10.
Summary:
Эта статья создана для решения проблемы, когда 27 июля 2021 года истекает срок действия сертификата безопасности OS10 x.509v3. Пакет сценариев «Обновление сертификатов Dell Networking
по умолчанию X.509» доступен в Dell Digital Locker с вашей лицензией OS10.
...
This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.
Article Content
Instructions
Определенные версии OS10 (см. раздел Затронутые выпуски программного обеспечения) содержат сертификат по умолчанию, который используется для однорангового развертывания VLT и формирования кластера SFS. Срок действия этого сертификата по умолчанию — 27 июля 2021 г. После истечения срока действия проблемы с доступностью трафика возникают, когда на одном из этих коммутаторов происходит последующая перезагрузка коммутатора, клапан канала, изменение конфигурации, инициированное оператором, vMotion и другие сетевые события. Истечение срока действия сертификата не содержит соответствующих сообщений в системных журналах, ловушках или пользовательском интерфейсе.
Затронутые версии программного обеспечения по модели:
Версия OS10
Модель
10.3.2ER3P1
Только S5148F
10.4.0E. R3SP2 до 10.4.0E. R4SP2
Только MX9116 и MX5108
10.4.1.4–10.4.3.6P5
Все модели OS10 (включая MX9116, MX5108 и S5148F)
10.5.0.0–10.5.0.7P3
Все модели OS10 (включая MX9116 и MX5108)
Решение
ПРИМЕЧАНИЕ. См. прилагаемое техническое описание для получения версии этого решения в формате PDF, которую можно предоставить инженеру, который будет выполнять модернизацию.
ПРИМЕЧАНИЕ: Пользователям внутренней сети Ethernet Isilon не следует выполнять процедуры, описанные в этой статье. Для Пользователей Isilon см. статью базы знаний 185548: Для получения подробной информации об этой проблеме истекает срок действия сертификата коммутатора Dell на коммутаторах Dell Z9100-ON, используемых для внутренней сети Ethernet Isilon. Для данной статьи требуется вход заказчика.
ПРИМЕЧАНИЕ: Пользователи устройств ECS 3-го поколения не должны выполнять процедуры, описанные в этой статье. Для ECS пользователи видят статью базы знаний 185691: DTA 185691: ECS. Истечение срока действия сертификата безопасности коммутатора Dell OS10 X.509v3 на внешних и серверных коммутаторах ECS может привести к недоступности данных для получения подробных сведений о проблеме. Для данной статьи требуется вход заказчика.
ПРИМЕЧАНИЕ: Пользователи затронутых версий с 10.3.2.x по 10.4.2.x, обновление сертификата недоступно. Пользователи должны выполнить модернизацию до версии 10.4.3.0 или более поздней (10.5.0.x или более поздней для MX) и следовать приведенной ниже таблице.
ПРИМЕЧАНИЕ. Для пользователей PowerEdge MX в версиях 10.4.0E (R3SP2) — 10.4.0E (R4SP2) если обновление до последней базовой версии невозможно к 27 июля 2021 г., обратитесь в службу технической поддержки Dell за помощью в обновлении сертификата по умолчанию.
ПРИМЕЧАНИЕ: Следующие версии OS10 поставляются с новым сертификатом по умолчанию, который устранен проблему истечения срока действия сертификата:
10.4.3.7 10.5.0.9 10.5.1.9 10.5.2.6
ОПОВЕЩЕНИЕ: Пользователям, которые выбрали обновление до последней версии микропрограммы , НЕОБХОДИМО следовать пути модернизации, указанным в разделе Подготовка к модернизации руководства по установке, обновлению и понижению версии Dell EMC SmartFabric OS10 на нашем сайте поддержки.
Для версий 10.4.3.0–10.5.0.7P3 пользователи должны следовать решению в соответствии с этой таблицей, чтобы предотвратить проблемы с сетью из-за истечения срока действия сертификата по умолчанию:
Категория развертывания
Рекомендуемое решение
Кроме того, если модернизация возможна.
Коммутаторы без MX в режиме без VLT без SFS
Никаких действий не требуется.
Никаких действий не требуется.
MX- ДескрипторMODE SFS
Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах.
Чтобы новый сертификат по умолчанию вступил в силу, необходимо выполнить следующие действия: - Перезагрузите основной сервер SFS . Кроме того, в многокластерном развертывании перезагрузите один из одноранговых узлов VLT в каждой паре VLT.
на стр. 15-17 содержит базовые показатели микропрограмм совместимых компонентов. Таблица обновления микропрограмм OS10 — на стр. 22 подробно описан путь модернизации коммутаторов OS10.
Режим полного коммутатора MX
Коммутаторы в режиме VLT без SFS
Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах.
Чтобы новый сертификат по умолчанию вступил в силу, необходимо выполнить команду «shut» и «no shut» на интерфейсе/канале VLTi основного коммутатора VLT.
Обновление до версии >=10.5.1.0 до 27 июля 2021 г.
VxRail-SFS — одна стойка
Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах.
Чтобы новый сертификат по умолчанию вступил в силу, он ЯВЛЯЕТСЯ ОБЯЗАТЕЛЬНОЙ: - Перезагрузите основной сервер SFS . Кроме того, в многокластерном развертывании перезагрузите один из одноранговых узлов VLT в каждой паре VLT.
Обновление до версии >=10.5.2.2 до 27 июля2021 г.
VxRail-SFS — несколько стоек
S5148
Выполните модернизацию до версии 10.4.3.x, а затем обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах.
Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах.
Чтобы новый сертификат по умолчанию вступил в силу, необходимо выполнить команду «shut» и «no shut» на интерфейсе/канале VLTi основного коммутатора VLT.
То же, что и рекомендуемое решение.
ПРИМЕЧАНИЕ. Для клапана канала VLTi или перезагрузки коммутатора требуется окно обслуживания, так как это может привести к прерываниям потока сетевого трафика. При расчете окна обслуживания:
Для сценария поведите время от 3 до 5 минут на устройство. Пока сценарий выполняется, это не влияет на трафик.
Для модернизации OS10 следует использовать 30 минут на узел при переходе от одного выпуска к следующему.
Пакет сценариев «Обновление сертификатов Dell Networking по умолчанию X.509» доступен в Dell Digital Locker с вашей лицензией OS10. Имя файла пакета сценариев —cert_upgrade_script, и он содержит файл README с подробными инструкциями по запуску сценариев. Нажмите на переключатель в своей учетной записи DDL, затем перейдите к доступным загрузкам, чтобы просмотреть пакет сценариев.
Здесь показан процесс обновления сертификата с помощью сценария Python.
ПРИМЕЧАНИЕ. В зависимости от того, где сохранен файл сценария, у вас может быть другой путь к файлу, а именно то, что используется в этом видео.
ОСТОРОЖНОСТЬЮ: Все коммутаторы в кластере или VLT должны иметь один и тот же сертификат, который установлен, для связи между кластером или VLT. Во время одного и того же окна обслуживания необходимо запустить сценарий на всех узлах кластера и VLT.
После обновления сертификата по умолчанию на коммутаторах обратите внимание на следующее:
Если понизить версию программного обеспечения со старым сертификатом по умолчанию, проблема может снова возникнуть.
При загрузке в другом разделе, в котором по-прежнему имеется старый сертификат по умолчанию, может снова возникнуть проблема.
При замене коммутатора на версию, использующей старый сертификат по умолчанию, снова может возникнуть проблема.
При возникновении любого из этих сценариев необходимо выполнить следующие действия:
Используйте сценарий для повторного обновления сертификата по умолчанию.
ОПОВЕЩЕНИЕ: Сертификат не используется, если все системы в кластере используют версию 10.5.1.0 или более позднюю. Если кластер работает со смешанными версиями OS10 с некоторыми узлами под управлением версии 10.5.0.x и ниже. Затем в системах под управлением версии 10.5.1.x или более поздней версии должен быть запущен скрипт для установки нового сертификата узлов для формирования кластера.
На некоторых новых коммутаторах, поставляемые с версиями 10.4.3 или 10.5.0, уже установлен новый сертификат по умолчанию. Кроме того, на некоторых коммутаторах замены служб установлен новый сертификат по умолчанию. Эти устройства идентифицированы по наклейке на устройстве с сообщением «Cert Updated».
Использование такого коммутатора в кластере VLT или SFS
На всех коммутаторах кластера должен быть установлен новый сертификат по умолчанию.