Scadenza e soluzione del certificato OS10 di Dell Networking
Questo articolo è stato creato per risolvere la scadenza del certificato di sicurezza OS10 x.509v3 il 27 luglio 2021. Il pacchetto di script "Dell Networking Default X.509 Certificate Update" è disponibile su Dell Digital Locker con diritto AS10.
Summary:
Questo articolo è stato creato per risolvere la scadenza del certificato di sicurezza OS10 x.509v3 il 27 luglio 2021. Il pacchetto di script "Dell Networking Default X.509
Certificate Update" è disponibile su Dell Digital Locker con diritto AS10.
...
This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.
Article Content
Instructions
Versioni specifiche di OS10 (vedere release software interessate) contengono un certificato predefinito utilizzato per la formazione di cluster SFS e peer establishment VLT. Questo certificato predefinito scade il 27 luglio 2021. Dopo la scadenza, si verificano problemi di raggiungibilità del traffico quando uno di questi switch presenta un successivo riavvio dello switch, un flap di collegamento, una modifica alla configurazione attivata dall'operatore, vMotion e altri eventi di rete. La scadenza del certificato non include messaggi corrispondenti in syslog, trap o nell'interfaccia utente.
Versioni software interessate, in base al modello:
Versione OS10
Modello
10.3.2ER3P1
Solo S5148F
10.4.0E. Da R3SP2 a 10.4.0E. R4SP2
Solo MX9116 e MX5108
Da 10.4.1.4 a 10.4.3.6P5
Tutti i modelli OS10 (compresi MX9116, MX5108 e S5148F)
Da 10.5.0.0 a 10.5.0.7P3
Tutti i modelli OS10 (compresi MX9116 e MX5108)
Soluzione
NOTA: Consultare il tech sheet allegato per una versione PDF di questa risoluzione che è possibile fornire all'ingegnere che eseguirà l'aggiornamento.
NOTA: Gli utenti delle versioni interessate dalla versione 10.3.2.x alla 10.4.2.x, l'aggiornamento del certificato non è disponibile. Gli utenti devono eseguire l'aggiornamento alla versione 10.4.3.0 o successiva (10.5.0.x o versione successiva per MX) e devono seguire la tabella riportata di seguito.
NOTA: Per gli utenti di PowerEdge MX con versione 10.4.0E(R3SP2) - 10.4.0E (R4SP2), se l'aggiornamento alla baseline più recente non è possibile entro il 27 luglio 2021, contattare il supporto tecnico Dell per assistenza con l'aggiornamento del certificato predefinito.
NOTA: Le seguenti versioni della versione OS10 sono dotate del nuovo certificato predefinito che risolve il problema della scadenza del certificato:
10.4.3.7 10.5.0.9 10.5.1.9 10.5.2.6
Per le release da 10.4.3.0 a 10.5.0.7P3, gli utenti devono seguire la risoluzione come indicato in questa tabella per evitare problemi di rete dovuti alla scadenza predefinita del certificato:
Categoria di implementazione
Risoluzione consigliata
In alternativa, se è possibile eseguire un aggiornamento.
Switch non MX in modalità non VLT non SFS
Non è richiesta alcuna azione.
Non è richiesta alcuna azione.
MX- ODE SFS
Aggiornare il certificato predefinito a un nuovo certificato predefinito utilizzando gli script forniti da Dell su tutti i nodi.
Per rendere effettivo il nuovo certificato predefinito, è necessario: - Reboot SFS primary : inoltre, nel deployment multicluster, riavviare uno dei peer VLT in ogni coppia VLT.
Eseguire l'aggiornamento a >=10.5.1.7 prima del 27 luglio 2021
Matrice di aggiornamento del firmware OS10 : pagina 22 descrive in dettaglio il percorso di aggiornamento per gli switch OS10.
Modalità MX-Full-switch
Switch in modalità VLT non SFS
Aggiornare il certificato predefinito a un nuovo certificato predefinito utilizzando gli script forniti da Dell su tutti i nodi.
Per rendere effettivo il nuovo certificato predefinito, è necessario eseguire "shut" e "no shut" sull'interfaccia/link VLTi dello switch principale VLT.
Aggiornamento alla versione >=10.5.1.0, prima del 27 luglio 2021
VxRail-SFS-rack singolo
Aggiornare il certificato predefinito a un nuovo certificato predefinito utilizzando gli script forniti da Dell su tutti i nodi.
Per rendere effettivo il nuovo certificato predefinito, è necessario: - Reboot SFS primary : inoltre, nel deployment multicluster, riavviare uno dei peer VLT in ogni coppia VLT.
Aggiornamento alla versione >=10.5.2.2, prima del 27 luglio2021
VxRail-SFS-multi-rack
S5148
Eseguire l'aggiornamento a 10.4.3.x, quindi aggiornare il certificato predefinito a un nuovo certificato predefinito utilizzando gli script forniti da Dell su tutti i nodi.
Aggiornare il certificato predefinito a un nuovo certificato predefinito utilizzando gli script forniti da Dell su tutti i nodi.
Per rendere effettivo il nuovo certificato predefinito, è necessario eseguire "shut" e "no shut" sull'interfaccia/link VLTi dello switch principale VLT.
Come la risoluzione consigliata.
NOTA: È necessaria una finestra di manutenzione per la chiusura del collegamento VLTi o il riavvio dello switch, in quanto potrebbero interrompere il flusso del traffico di rete. Durante il calcolo della finestra di manutenzione:
Per lo script, consentire da 3 a 5 minuti per dispositivo. Mentre lo script è in esecuzione, il traffico non è interessato.
Per l'aggiornamento di OS10, stimare 30 minuti per nodo quando si passa da una release all'altra.
Il pacchetto di script "Dell Networking Default X.509 Certificate Update" è disponibile su Dell Digital Locker con diritto AS10. Il nome file del pacchetto di script è "cert_upgrade_script" e include un file README con istruzioni dettagliate su come eseguire gli script. Fare clic su uno switch nell'account DDL, quindi passare ai download disponibili per visualizzare il pacchetto di script.
Ecco un video che mostra il processo di aggiornamento del certificato utilizzando uno script Python.
NOTA: A seconda di dove è stato salvato il file di script, è possibile avere un percorso file diverso da quello utilizzato in questo video.
ATTENZIONE: Tutti gli switch di un cluster o VLT devono avere lo stesso certificato installato per le comunicazioni cluster o VLT. È obbligatorio eseguire lo script su tutti i nodi del cluster e VLT durante la stessa finestra di manutenzione.
Dopo aver aggiornato il certificato predefinito sugli switch, tenere presente quanto segue:
Se si esegue il downgrade di un'altra versione software con il precedente certificato predefinito, è possibile che si verifichi nuovamente il problema.
Se si esegue l'avvio su un'altra partizione con un certificato predefinito precedente, è possibile che si verifichi nuovamente il problema.
Se si sostituisce uno switch con una versione che utilizza il vecchio certificato predefinito, è possibile che si verifichi nuovamente il problema.
Se si verifica uno di questi scenari, è necessario:
Utilizzare lo script per aggiornare nuovamente il certificato predefinito.
AVVISO: Il certificato non viene utilizzato quando tutti i sistemi di un cluster utilizzano la versione 10.5.1.0 o successiva. Se il cluster è in esecuzione con versioni miste di OS10 con alcuni nodi che eseguono 10.5.0.x e versioni precedenti. Quindi, i sistemi che eseguono la versione 10.5.1.x o successiva devono eseguire lo script per installare il nuovo certificato affinché i nodi formano un cluster.
Alcuni nuovi switch forniti con la versione 10.4.3 o 10.5.0 dispongono già di un nuovo certificato predefinito installato. Inoltre, alcuni switch sostitutivi hanno un nuovo certificato predefinito installato. Queste unità sono identificate da un adesivo sull'unità con il testo "Cert Updated".
Per utilizzare tale switch nel cluster VLT o SFS
In tutti gli switch del cluster deve essere installato il nuovo certificato predefinito.