Solução e expiração de certificado do Dell Networking OS10
Este artigo foi criado para tratar da expiração de 27 de julho de 2021 do certificado de segurança OS10 x.509v3. O pacote de scripts "Atualização de certificado dell networking padrão X.509" está disponível no Dell Digital Locker com seu direito ao OS10.
Summary:
Este artigo foi criado para tratar da expiração de 27 de julho de 2021 do certificado de segurança OS10 x.509v3. O pacote de scripts
"Atualização de certificado dell networking padrão X.509" está disponível no Dell Digital Locker com seu direito ao OS10.
...
This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.
Article Content
Instructions
Versões específicas do OS10 (consulte Versões de software afetadas) contêm um certificado padrão usado para o estabelecimento de pares do VLT e a formação de cluster SFS. Esse certificado padrão expira em 27 de julho de 2021. Após a expiração, ocorrem problemas de acessibilidade de tráfego quando um desses switches tem uma reinicialização subsequente do comutador, aba de link, alteração de configuração acionada pelo operador, vMotion e outros eventos de rede. A expiração do certificado não tem mensagens correspondentes no syslog, traps ou na interface do usuário.
Versões de software afetadas, por modelo:
Versão do OS10
Modelo
10.3.2ER3P1
Somente S5148F
10.4.0E. R3SP2 a 10.4.0E. R4SP2
Somente MX9116 e MX5108
10.4.1.4 a 10.4.3.6P5
Todos os modelos OS10 (incluindo MX9116, MX5108 e S5148F)
10.5.0.0 a 10.5.0.7P3
Todos os modelos OS10 (incluindo MX9116 e MX5108)
Solução
Nota: Consulte a folha técnica anexada para obter uma versão em PDF dessa resolução que você pode fornecer ao engenheiro que realizará o upgrade.
NOTA: Os usuários das versões afetadas de 10.3.2.x a 10.4.2.x, a atualização do certificado não está disponível. Os usuários devem fazer upgrade para a versão 10.4.3.0 ou posterior (10.5.0.x ou posterior para MX) e devem seguir a tabela abaixo.
Nota: Para usuários do PowerEdge MX no 10.4.0E(R3SP2)- 10.4.0E(R4SP2), se o upgrade para a linha de base mais recente não for viável até 27 de julho de 2021, entre em contato com o suporte técnico da Dell para obter assistência com a atualização do certificado padrão.
NOTA: As seguintes versões do OS10 vêm com o novo certificado padrão que aborda esse problema de expiração do certificado:
10.4.3.7 10.5.0.9 10.5.1.9 10.5.2.6
ALERTA: Para os usuários que optarem por fazer upgrade para o firmware mais recente, você DEVEseguir o caminho de upgrade indicado na seção Preparando-se para uma atualização do documento Guia de instalação, upgrade e downgrade do Dell EMC SmartFabric OS10 em nosso site de suporte.
Para as versões 10.4.3.0 a 10.5.0.7P3, os usuários devem seguir a resolução de acordo com esta tabela para evitar problemas de rede devido à expiração padrão do certificado:
Categoria de implementação
Resolução recomendada
Como alternativa, se um upgrade for possível.
Switches não MX no modo não VLT não SFS
Nenhuma ação será necessária.
Nenhuma ação será necessária.
MX- Mode SFS
Atualize o certificado padrão para um novo certificado padrão usando os scripts fornecidos pela Dell em todos os nós.
Para tornar o novo certificado padrão em vigor, é necessário: - Reinicialize o SFS primário - Além disso, na implementação de vários clusters, reinicialize um dos pares de VLT em cada par de VLT.
Faça upgrade para >=10.5.1.7 antes de 27 de julho de 2021
– A página 15-17 mostra as linhas de base de firmware doscomponentes compatíveis. Matriz de atualização de firmware do OS10 — a página 22 detalha o caminho de upgrade para switches OS10.
Modo MX-Full-switch
Switches no modo VLT não SFS
Atualize o certificado padrão para um novo certificado padrão usando os scripts fornecidos pela Dell em todos os nós.
Para tornar o novo certificado padrão em vigor, é necessário fazer "shut" e "no shut" na interface/link VLTi do switch principal do VLT.
Upgrade para a versão >=10.5.1.0, antes de 27 de julho de 2021
Rack único VxRail-SFS
Atualize o certificado padrão para um novo certificado padrão usando os scripts fornecidos pela Dell em todos os nós.
Para tornar o novo certificado padrão em vigor, é necessário: - Reinicialize o SFS primário - Além disso, na implementação de vários clusters, reinicialize um dos pares de VLT em cada par de VLT.
Upgrade para a versão >=10.5.2.2, antes de 27 de julho de 2021
VxRail-SFS-vários racks
S5148
Faça upgrade para a versão 10.4.3.x e, em seguida, atualize o certificado padrão para um novo certificado padrão usando os scripts fornecidos pela Dell em todos os nós.
Atualize o certificado padrão para um novo certificado padrão usando os scripts fornecidos pela Dell em todos os nós.
Para tornar o novo certificado padrão em vigor, é necessário fazer "shut" e "no shut" na interface/link VLTi do switch principal do VLT.
Igual à Resolução recomendada.
Nota: Uma janela de manutenção é necessária para a reinicialização da aba de link ou do switch da VLTi, pois isso pode interromper o fluxo de tráfego de rede. Ao calcular a janela de manutenção:
Para script, aguarde de 3 a 5 minutos por dispositivo. Enquanto o script está em execução, o tráfego não é afetado.
Para fazer upgrade do OS10, estima 30 minutos por nó ao passar de uma versão para a próxima.
O pacote de scripts "Atualização de certificado dell networking padrão X.509" está disponível no Dell Digital Locker com seu direito ao OS10. O nome do arquivo do pacote script é "cert_upgrade_script", e inclui um arquivo README que tem instruções detalhadas sobre como executar os scripts. Clique em um switch em sua conta DDL e, em seguida, acesse os downloads disponíveis para ver o pacote de scripts.
Aqui está um vídeo que mostra o processo de atualização do certificado usando um script Python.
NOTA: Dependendo de onde seu arquivo de script foi salvo, você pode ter um caminho de arquivo diferente do que é usado neste vídeo.
CUIDADO: Todos os switches em um cluster ou VLT devem ter o mesmo certificado instalado para comunicação de cluster ou VLT. É obrigatório executar o script em todos os nós do cluster e vlt durante a mesma janela de manutenção.
Depois de atualizar o certificado padrão nos switches, observe o seguinte:
Se você fizer downgrade de outra versão de software que tenha o certificado padrão antigo, poderá experimentar o problema novamente.
Se você inicializar em outra partição que ainda tenha um certificado padrão antigo, poderá experimentar o problema novamente.
Se você substituir um comutador por uma versão usando o certificado padrão antigo, poderá experimentar o problema novamente.
Se qualquer um desses cenários ocorrer, você deve:
Use o script para atualizar o certificado padrão novamente.
ALERTA: O certificado não é usado quando todos os sistemas de um cluster estão usando a versão 10.5.1.0 ou posterior. Se o cluster estiver sendo executado com versões mistas do OS10 com alguns nós executando 10.5.0.x e versões anteriores. Em seguida, os sistemas que executam a versão 10.5.1.x ou posterior devem executar o script para instalar o novo certificado para que os nós formem um cluster.
Alguns novos switches enviados com 10.4.3 ou 10.5.0 já têm um novo certificado padrão instalado. Além disso, alguns switches de substituição de serviço têm um novo certificado padrão instalado. Essas unidades são identificadas por um adesivo na unidade que lê "Cert Updated".
Para usar esse comutador no CLUSTER VLT ou SFS
Todos os switches no cluster devem ter o novo certificado padrão instalado.