Wygaśnięcie certyfikatu Dell Networking OS10 i rozwiązanie
Ten artykuł został utworzony w celu rozwiązania problemu z wygaśnięciem certyfikatu zabezpieczeń OS10 x.509v3 z 27 lipca 2021 r. Pakiet skryptów "Dell Networking Default X.509 Certificate Update" jest dostępny w narzędziu Dell Digital Locker z uprawnieniami do systemu OS10.
Summary:
Ten artykuł został utworzony w celu rozwiązania problemu z wygaśnięciem certyfikatu zabezpieczeń OS10 x.509v3 z 27 lipca 2021 r. Pakiet skryptów "Dell Networking Default
X.509 Certificate Update" jest dostępny w narzędziu Dell Digital Locker z uprawnieniami do systemu OS10.
...
This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.
Article Content
Instructions
Określone wersje systemu OS10 (patrz wersje oprogramowania, których dotyczy problem) zawierają domyślny certyfikat używany do ustanawiania równorzędnego VLT i tworzenia klastra SFS. Ten domyślny certyfikat wygasa 27 lipca 2021 r. Po wygaśnięciu, problemy z dostępem do ruchu występują, gdy jeden z tych przełączników ma kolejne ponowne uruchomienie przełącznika, klapę łącza, zmianę konfiguracji wyzwalaną przez operatora, vMotion i inne zdarzenia sieciowe. Wygaśnięcie certyfikatu nie ma żadnych odpowiednich komunikatów w dzienniku systemowym, pułapkach lub w interfejsie użytkownika.
Wersje oprogramowania, których dotyczy problem, według modelu:
Wersja OS10
Model
10.3.2ER3P1
Tylko S5148F
10.4.0E. R3SP2 do 10.4.0E. R4SP2
Tylko MX9116 i MX5108
Od 10.4.1.4 do 10.4.3.6P5
Wszystkie modele OS10 (w tym MX9116, MX5108 i S5148F)
Od 10.5.0.0 do 10.5.0.7P3
Wszystkie modele OS10 (w tym MX9116 i MX5108)
Rozwiązanie
UWAGA: Zapoznaj się z załączonym arkuszem technicznym, aby zapoznać się z wersją w formacie PDF tej rozdzielczości, którą można przekazać inżynierowi, który wykona aktualizację.
UWAGA: Użytkownicy zagrożonych wersji od 10.3.2.x do 10.4.2.x, aktualizacja certyfikatu nie jest dostępna. Użytkownicy muszą zaktualizować system do wersji 10.4.3.0 lub nowszej (10.5.0.x lub nowszej w przypadku MX) i muszą postępować zgodnie z poniższą tabelą.
UWAGA: W przypadku użytkowników PowerEdge MX w wersji 10.4.0E (R3SP2) — 10.4.0E (R4SP2), jeśli aktualizacja do najnowszej wersji bazowej nie jest możliwa do 27 lipca 2021 r., skontaktuj się z działem pomocy technicznej firmy Dell, aby uzyskać pomoc w zakresie aktualizacji domyślnego certyfikatu.
UWAGA: Następujące wersje wersji OS10 są dostarczane z nowym domyślnym certyfikatem, który rozwiązuje ten problem z wygaśnięciem certyfikatu:
10.4.3.7 10.5.0.9 10.5.1.9 ALERT 10.5.2.6
W przypadku wersji od 10.4.3.0 do 10.5.0.7P3 użytkownicy muszą postępować zgodnie z poniższą tabelą, aby zapobiec problemom z siecią z powodu domyślnego wygaśnięcia certyfikatu:
Kategoria wdrożenia
Zalecane rozwiązanie
Alternatywnie, jeśli możliwa jest aktualizacja.
Przełączniki inne niż MX w trybie bez VLT bez SFS
Nie są wymagane żadne czynności.
Nie są wymagane żadne czynności.
MX- SFS mode
Zaktualizuj domyślny certyfikat do nowego certyfikatu domyślnego przy użyciu skryptów dostarczonych przez firmę Dell we wszystkich węzłach.
Aby wprowadzić nowy certyfikat domyślny, należy wykonać następujące czynności: - Uruchom ponownie podstawowy system SFS — w przypadku wdrożenia wieloklastrowego należy ponownie uruchomić jeden z równorzędnych przełączników VLT w każdej parze VLT.
: podstawowe informacje orozwiązaniu MX7000 — strona 15-17 przedstawia zgodne podstawowe informacje o oprogramowaniu wewnętrznym komponentów. Macierz aktualizacji oprogramowania wewnętrznego OS10 — strona 22 zawiera szczegółowe informacje na temat ścieżki aktualizacji przełączników OS10.
Tryb MX-Full-Switch
Przełączniki w trybie VLT bez SFS
Zaktualizuj domyślny certyfikat do nowego certyfikatu domyślnego przy użyciu skryptów dostarczonych przez firmę Dell we wszystkich węzłach.
Aby wprowadzić nowy certyfikat domyślny, konieczne jest wykonanie czynności "shut" i "no shut" na interfejsie/łączu VLTi przełącznika VLT Primary przełącznika.
Aktualizacja do wersji >=10.5.1.0, przed 27 lipca 2021 r.
Pojedyncza szafa serwerowa VxRail-SFS
Zaktualizuj domyślny certyfikat do nowego certyfikatu domyślnego przy użyciu skryptów dostarczonych przez firmę Dell we wszystkich węzłach.
Aby wprowadzić nowy certyfikat domyślny, należy wykonać następujące czynności: - Uruchom ponownie podstawowy system SFS — w przypadku wdrożenia wieloklastrowego należy ponownie uruchomić jeden z równorzędnych przełączników VLT w każdej parze VLT.
Aktualizacja do wersji >=10.5.2.2, przed 27 lipca2021 r.
VxRail-SFS-Multi-Rack
S5148
Uaktualnij do wersji 10.4.3.x, a następnie zaktualizuj domyślny certyfikat do nowego certyfikatu domyślnego przy użyciu skryptów dostarczonych przez firmę Dell na wszystkich węzłach.
Zaktualizuj domyślny certyfikat do nowego certyfikatu domyślnego przy użyciu skryptów dostarczonych przez firmę Dell we wszystkich węzłach.
Aby wprowadzić nowy certyfikat domyślny, konieczne jest wykonanie czynności "shut" i "no shut" na interfejsie/łączu VLTi przełącznika VLT Primary przełącznika.
Taki sam, jak zalecane rozwiązanie.
UWAGA: Do ponownego uruchomienia klapy łącza VLTi lub ponownego uruchomienia przełącznika wymagane jest okno konserwacyjne, ponieważ może to spowodować zakłócenia ruchu w sieci. Przy obliczaniu przerwy konserwacyjnej:
W przypadku skryptu poczekaj od 3 do 5 minut na urządzenie. Podczas uruchamiania skryptu ruch nie jest zagrożony.
W przypadku uaktualniania systemu OS10 należy oszacować 30 minut na węzeł przy przechodzeniu z jednej wersji do następnej.
Pakiet skryptów "Dell Networking Default X.509 Certificate Update" jest dostępny w narzędziu Dell Digital Locker z uprawnieniami do systemu OS10. Nazwa pliku pakietu skryptu to "cert_upgrade_script" i zawiera plik README, który zawiera szczegółowe instrukcje dotyczące uruchamiania skryptów. Kliknij przełącznik na koncie DDL, a następnie przejdź do dostępnych plików do pobrania, aby zobaczyć pakiet skryptów.
Tutaj znajduje się film przedstawiający proces aktualizacji certyfikatu za pomocą skryptu Python.
UWAGA: W zależności od lokalizacji zapisanego pliku skryptu możesz mieć inną ścieżkę pliku niż ta, która jest wykorzystana w tym filmie.
OSTROŻNOŚĆ: Wszystkie przełączniki w klastrze lub VLT muszą mieć taki sam certyfikat, który jest zainstalowany do komunikacji klastra lub VLT. Podczas tego samego okna konserwacji wymagane jest uruchomienie skryptu na wszystkich węzłach w klastrze i VLT.
Po zaktualizowaniu domyślnego certyfikatu przełączników należy zwrócić uwagę na następujące kwestie:
W przypadku przywrócenia starszej wersji oprogramowania, która ma stary certyfikat domyślny, problem może wystąpić ponownie.
Jeśli uruchomisz komputer na innej partycji, która nadal ma stary certyfikat domyślny, problem może wystąpić ponownie.
W przypadku zastąpienia przełącznika wersją przy użyciu starego certyfikatu domyślnego problem może wystąpić ponownie.
W przypadku wystąpienia dowolnego z tych scenariuszy należy:
Użyj skryptu, aby ponownie zaktualizować certyfikat domyślny.
ALERT: Certyfikat nie jest używany, gdy wszystkie systemy w klastrze używają wersji 10.5.1.0 lub nowszej. Jeśli klaster działa z mieszanymi wersjami OS10 z niektórymi węzłami o wersji 10.5.0.x i starszych. Następnie systemy z zainstalowanym oprogramowaniem 10.5.1.x lub wyższym muszą uruchomić skrypt, aby zainstalować nowy certyfikat dla węzłów w celu utworzenia klastra.
Niektóre nowe przełączniki dostarczane z zainstalowanym certyfikatem domyślnym w wersji 10.4.3 lub 10.5.0. Ponadto niektóre przełączniki wymiany usług mają zainstalowany nowy certyfikat domyślny. Jednostki te są identyfikowane na podstawie naklejki na urządzeniu z napisem "Cert Updated".
Używanie takiego przełącznika w klastrze VLT lub SFS
Wszystkie przełączniki w klastrze muszą mieć zainstalowany nowy certyfikat domyślny.