Dell Networking OS10 憑證到期和解決方案

OS10 的特定版本 （請參閱受影響的軟體版本） 包含用於 VLT 對等建立和 SFS 叢集建置的預設憑證。此預設憑證將于 2021 年 7 月 27 日到期。到期後，當其中一個交換器有後續的交換器重新開機、連結翻蓋、操作員觸發的組態變更、vMotion 和其他網路事件時，會發生流量連線問題。憑證到期在 syslog、設陷或使用者介面上沒有任何對應的訊息。

依型號而定，受影響的軟體版本：
 

OS10 版本	型號
10.3.2ER3P1	僅限 S5148F
10.4.0E。R3SP2 至 10.4.0E。R4SP2	僅限 MX9116 和 MX5108
10.4.1.4 至 10.4.3.6P5	所有 OS10 機型 （包括 MX9116、MX5108 和 S5148F）
10.5.0.0 至 10.5.0.7P3	所有 OS10 機型 （包括 MX9116 和 MX5108）

解決方案

注意：請參閱附加的技術表，瞭解此解決方案的 PDF 版本，您可以提供給將執行升級的工程師。

注意：Isilon 後端乙太網路使用者不應遵循本文概述的程式。如果是 Isilon，使用者請參閱知識庫文章185548：用於 Isilon 後端乙太網路的 Dell Z9100-ON 交換器上的 Dell 交換器憑證到期 ，以取得問題的詳細資訊。本文需要客戶登入。

注意：  ECS Gen 3 應用裝置使用者不應遵循本文概述的程式。若為 ECS，使用者請參閱知識庫文章185691：DTA 185691：ECS：ECS 前端和後端交換器上的 Dell OS10 交換器 X.509v3 安全性憑證到期可能會導致資料無法使用，以取得問題的詳細資料。本文需要客戶登入。

注意：無法使用受影響版本從 10.3.2.x 至 10.4.2.x 的使用者。使用者必須升級至 10.4.3.0 或更新版本 （MX 為 10.5.0.x 或更新版本），且必須遵循下表。   

注意：  若為 10.4.0E （R3SP2） - 10.4.0E （R4SP2） 上的 PowerEdge MX 使用者，如果在 2021 年 7 月 27 日之前升級至最新基準不可行，請聯絡 Dell 技術支援以取得協助，以更新預設憑證。

注意：下列 OS10 版本隨附新的預設憑證，可解決此憑證到期問題：
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

警示：對於選擇升級至最新韌體的使用者，您必須遵循支援網站上的Dell EMC SmartFabric OS10 安裝、升級和降級指南檔的升級路徑。

若為10.4.3.0 至 10.5.0.7P3版本，使用者必須依照此表遵循解決方案，以防止因預設憑證到期而發生網路問題：       
 

部署類別	建議的解決方案	或者，如果可以升級的話。
非 VLT 非 SFS 模式中的非 MX 交換器	無需採取任何行動。	無需採取任何行動。
Mx-SFS mode	使用所有節點上的 Dell 提供的腳本，將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效，必須執行以下操作： - 重新開機 SFS 主要 - 此外，在多叢集部署中，每個 VLT 配對中的其中一個 VLT 對等重新開機。	在 2021 年 7 月 27 日之前升級至 >=10.5.1.7 請遵循 PowerEdge MX7000 主機殼適用之 Dell EMC OpenManage Enterprise-Modular Edition的升級路徑 ，《MX7000 解決方案基準使用者指南》 - 第 15 至 17 頁顯示相容元件韌體基準。 OS10 韌體更新對照表 - 第 22 頁詳細說明 OS10 交換器的升級路徑。
MX-Full-switch 模式
VLT 非 SFS 模式中的交換器	使用所有節點上的 Dell 提供的腳本，將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效，必須在 VLT 主要交換器的 VLTi 介面/連結上執行「shut」和「no shut」。	在 2021 年 7 月 27 日前升級至版本 >=10.5.1.0
VxRail-SFS-單一機架	使用所有節點上的 Dell 提供的腳本，將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效，必須執行以下操作： - 重新開機 SFS 主要 - 此外，在多叢集部署中，每個 VLT 配對中的其中一個 VLT 對等重新開機。	在 2021 年 7 月 27 日前升級至版本 >=10.5.2.2
VxRail-SFS-多機架
S5148	升級至 10.4.3.x，然後使用所有節點上 Dell 提供的腳本，將預設憑證更新為新的預設憑證。 使用所有節點上的 Dell 提供的腳本，將預設憑證更新為新的預設憑證。 若要使新的預設憑證生效，必須在 VLT 主要交換器的 VLTi 介面/連結上執行「shut」和「no shut」。	與建議的解決方案相同。

注意：VLTi 連結翻蓋或交換器重新開機需要一個維護視窗，因為這可能會中斷網路流量。計算維護時段：       

• 若為指令檔，請允許每個裝置 3 至 5 分鐘。在執行腳本時，流量不會受到影響。
• 若要升級 OS10，從一個版本到下一個版本，每個節點預估 30 分鐘。

「Dell Networking Default X.509 Certificate Update」腳本套件可在具備 OS10 授權的Dell Digital Locker 上取得。腳本套件檔案名稱為「cert_upgrade_script」，其中包含一個 README 檔案，其中提供如何執行腳本的詳細指示。按一下 DDL 帳戶中的交換器，然後前往可用的下載以查看腳本套件。

如需更多有關登入和下載腳本的詳細資料，請參閱 Dell Networking 如何從 Dell Digital Locker

下載 OS10 Cert_Upgrade_Script 以下文章提供如何完成憑證更新的詳細資料：

請從Linux Dell Networking OS10 選擇一個

Dell Networking OS10 如何從 Linux

Dell Networking OS10 如何直接從 OS10 交換

器執行憑證更新Dell Networking OS10 如何使用 Python

從 Windows 執行憑證更新此處的影片，顯示使用 python 腳本更新憑證的程式。

注意：根據您儲存的指令檔位置而定，您可能有不同的檔案路徑，以及本影片的使用內容。





謹慎：叢集或 VLT 中的所有交換器必須具有相同的已安裝憑證，以供叢集或 VLT 通訊使用。必須在同一維護期間，在叢集和 VLT 的所有節點上執行腳本。

更新交換器上的預設憑證後，請注意下列事項：      

• 如果您將另一個具有舊預設憑證的軟體版本降級，您可能會再次遇到此問題。
• 如果您在另一個仍有舊預設憑證的分割區上開機，您可能會再次遇到此問題。
• 如果您使用舊的預設憑證將交換器更換為版本，您可能會再次遇到此問題。

如果發生下列任何情況，您應執行下列動作：     

•   使用腳本再次更新預設憑證。

警示：當叢集中的所有系統都使用 10.5.1.0 或更新版本時，不會使用憑證。如果叢集以混合版本的 OS10 執行，有些節點執行的是 10.5.0.x 及更低版本。然後，執行 10.5.1.x 或以上版本的系統必須執行指令檔，以安裝新憑證，讓節點形成叢集。

有些 10.4.3 或 10.5.0 的新交換器已安裝新的預設憑證。此外，某些服務更換交換器也安裝了新的預設憑證。這些裝置是由裝置上的貼紙識別，標示為「Cert Updated」。

若要在 VLT 或 SFS 叢集中使用此類交換器  

• 叢集中的所有交換器都必須安裝新的預設憑證。