Utløps- og løsning for Dell Networking OS10-sertifikat

Spesifikke versjoner av OS10 (se berørte programvareutgivelser) inneholder et standardsertifikat som brukes for VLT-nodeetablering og SFS-klyngedannelse. Dette standardsertifikatet utløper 27. juli 2021. Etter utløpsdato oppstår trafikkproblemer når en av disse svitsjene har en påfølgende omstart av svitsjen, koblingsklaffen, operatørutløst konfigurasjonsendring, vMotion og andre nettverkshendelser. Sertifikatutløp har ingen tilsvarende meldinger i syslog, feller eller på brukergrensesnittet.

Berørte programvareutgivelser etter modell:
 

OS10-versjon	Modell
10.3.2ER3P1	Kun S5148F
10.4.0E. R3SP2 til og med 10.4.0E. R4SP2	Bare MX9116 og MX5108
10.4.1.4 til og med 10.4.3.6P5	Alle OS10-modeller (inkl. MX9116, MX5108 og S5148F)
10.5.0.0 til og med 10.5.0.7P3	Alle OS10-modeller (inkl. MX9116 og MX5108)

Løsning

MERK: Se det vedlagte tekniske arket for en PDF-versjon av denne oppløsningen som du kan gi teknikeren som utfører oppgraderingen.

MERK: Isilon Backend Ethernet-brukere bør ikke følge fremgangsmåtene som er beskrevet i denne artikkelen. For Isilon kan brukere se KB-artikkelen 185548: Utløp av Dell-svitsjsertifikat på Dell Z9100-ON-svitsjer som brukes for Isilon Backend Ethernet for å få mer informasjon om problemet. Artikkelen krever en kundepålogging.

MERK:  ECS Gen3 Appliance-brukere bør ikke følge fremgangsmåtene som er beskrevet i denne artikkelen. For ECS kan brukerne se KB-artikkel 185691: DTA 185691: ECS: Sikkerhetssertifikatet for Dell OS10-svitsjen X.509v3 på ECS Front-End- og Back-End-svitsjer kan føre til datautilgjengelighet hvis du vil ha mer informasjon om problemet. Artikkelen krever en kundepålogging.

MERK: Brukere av berørte versjoner fra 10.3.2.x til og med 10.4.2.x, sertifikatoppdatering er ikke tilgjengelig. Brukere må oppgradere til 10.4.3.0 eller nyere (10.5.0.x eller nyere for MX), og må følge tabellen nedenfor.   

MERK:  For PowerEdge MX-brukere på 10.4.0E (R3SP2) – 10.4.0E (R4SP2), hvis oppgradering til den nyeste grunnlinjen ikke er mulig innen 27. juli 2021, kontakter du Teknisk støtte hos Dell for å få hjelp med å oppdatere standardsertifikatet.

MERK: Følgende versjoner av OS10-versjonen leveres med det nye standardsertifikatet som adresserer dette sertifikatets utløpsproblem:
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

ALERT: For brukere som velger å oppgradere til den nyeste fastvaren , mådu følge oppgraderingsbanen som er angitt i delen Preparing for an upgrade (Forberede en oppgradering ) i dokumentet for installasjon, oppgradering og nedgradering av Dell EMC SmartFabric OS10 på nettstedet vårt for installasjons-, oppgraderings- og nedgraderingsveiledninger på nettstedet vårt for kundestøtte.

For utgivelser fra 10.4.3.0 til og med 10.5.0.7P3 må brukerne følge løsningen i henhold til denne tabellen for å forhindre nettverksproblemer på grunn av standard sertifikatutløp:       
 

Distribusjonskategori	Anbefalt løsning	Hvis det er mulig med en oppgradering,
Ikke-MX-svitsjer i ikke-VLT-modus uten SFS	Ingen handling kreves.	Ingen handling kreves.
MX- SFSm-ode	Oppdater standardsertifikatet til et nytt standardsertifikat ved hjelp av skript fra Dell på alle noder. Hvis du vil at det nye standardsertifikatet skal tre i kraft, må du gjøre følgende: – Start SFS primært på nytt – start også én av VLT-motpartene i hvert VLT-par i flerklyngeimplementering.	Oppgrader til > = 10.5.1.7 før 27. juli 2021 Følg oppgraderingsbanen som finnes i Dell EMC OpenManage Enterprise-Modular Edition for PowerEdge MX7000 Chassis User's Guide MX7000 Solution Baselines – Side 15-17 viser de kompatible fastvaregrunnlinjene for komponenter. OS10-fastvareoppdateringsmatrise – side 22 inneholder informasjon om oppgraderingsbanen for OS10-svitsjer.
MX-full-svitsjmodus
Svitsjer i VLT-modus uten SFS	Oppdater standardsertifikatet til et nytt standardsertifikat ved hjelp av skript fra Dell på alle noder. Hvis du vil aktivere det nye standardsertifikatet, må du gjøre «shut» (lukk) og «no shut» (ingen avslutning) på VLT Primary-svitsjens VLTi-grensesnitt/-kobling.	Oppgrader til versjon > = 10.5.1.0, før 27. juli 2021
VxRail-SFS-enkel rack	Oppdater standardsertifikatet til et nytt standardsertifikat ved hjelp av skript fra Dell på alle noder. Hvis du vil at det nye standardsertifikatet skal gjelde, er det et MUST: – Start SFS primært på nytt – start også én av VLT-motpartene i hvert VLT-par i flerklyngeimplementering.	Oppgrader til versjon > = 10.5.2.2, før 27. juli2021
VxRail-SFS-Multi-Rack
S5148	Oppgrader til 10.4.3.x, og oppdater deretter standardsertifikatet til et nytt standardsertifikat ved hjelp av skript fra Dell på alle noder. Oppdater standardsertifikatet til et nytt standardsertifikat ved hjelp av skript fra Dell på alle noder. Hvis du vil aktivere det nye standardsertifikatet, må du gjøre «shut» (lukk) og «no shut» (ingen avslutning) på VLT Primary-svitsjens VLTi-grensesnitt/-kobling.	Samme som anbefalt løsning.

MERK: Det kreves et vedlikeholdsvindu for VLTi-koblingsklaffen eller omstart av svitsjen, da dette kan potensielt forstyrre nettverkstrafikkflyten. Når du beregner vedlikeholdsvinduet:       

• For skript tillater du 3 til 5 minutter per enhet. Mens skriptet kjører, påvirkes ikke trafikken.
• For oppgradering av OS10 anslår du 30 minutter per node når du går fra én utgivelse til den neste.

Skriptpakken Dell Networking Default X.509 Certificate Update (Standard X.509-sertifikatoppdatering) er tilgjengelig på Dell Digital Locker med OS10-rettigheten din. Filnavnet for skriptpakken er «cert_upgrade_script», og den inneholder en README-fil med detaljerte instruksjoner om hvordan du kjører skriptene. Klikk på en svitsj i DDL-kontoen din, og gå deretter til tilgjengelige nedlastinger for å se skriptpakken.

Hvis du vil ha mer informasjon om hvordan du logger på og laster ned skriptet, kan du se Dell Networking How to Download OS10 Cert_Upgrade_Script from Dell Digital Locker
Further Step by Step details on how to complete the certificate update are available in these articles:

Choose one
Dell Networking OS10 How to Run Certificate Update from Linux

Dell Networking OS10 How to Run Certificate Update Directly from the OS10 Switch (Slik kjører du sertifikatoppdatering direkte fra OS10-svitsjen

)

Dell Networking OS10 Slik kjører du sertifikatoppdatering fra Windows med Python

Her er en video som viser prosessen for å oppdatere sertifikatet ved hjelp av et Python-skript.

MERK: Avhengig av hvor skriptfilen er lagret, kan du ha en annen filbane enn den som brukes i denne videoen.





FORSIKTIGHET: Alle svitsjer i en klynge eller VLT må ha samme sertifikat som er installert for klynge- eller VLT-kommunikasjon. Det er obligatorisk å kjøre skriptet på alle nodene i klyngen og VLT i samme vedlikeholdsvindu.

Når du har oppdatert standardsertifikatet på svitsjene, noterer du deg følgende:      

• Hvis du nedgraderer en annen programvareversjon som har det gamle standardsertifikatet, kan du oppleve problemet på nytt.
• Hvis du starter opp på en annen partisjon som fortsatt har et gammelt standardsertifikat, kan du oppleve problemet på nytt.
• Hvis du bytter ut en svitsj med en versjon ved hjelp av det gamle standardsertifikatet, kan du oppleve problemet på nytt.

Hvis noen av disse scenariene oppstår, bør du gjøre følgende:     

•   Bruk skriptet til å oppdatere standardsertifikatet på nytt.

VARSEL: Sertifikatet brukes ikke når alle systemer i en klynge bruker 10.5.1.0 eller nyere. Hvis klyngen kjører med ulike versjoner av OS10 med noen noder som kjører 10.5.0.x og eldre. Systemer som kjører 10.5.1.x eller nyere, må kjøre skriptet for å installere det nye sertifikatet for at nodene skal danne en klynge.

Noen nye svitsjer som leveres med 10.4.3 eller 10.5.0, har allerede et nytt standardsertifikat installert. I tillegg har noen serviceerstatningssvitsjer et nytt standardsertifikat installert. Disse enhetene identifiseres av et klistremerke på enheten der det står «Cert Updated» (Sert oppdatert).

Slik bruker du en slik svitsj i VLT- eller SFS-klynge  

• Alle svitsjer i klyngen må ha det nye standardsertifikatet installert.