Dell Networking OS10-certifikatets upphörande och lösning

Specifika versioner av OS10 (se Berörda programvaruversioner) innehåller ett standardcertifikat som används för VLT peer-etablering och SFS-klusterbildning. Det här standardcertifikatet upphör att gälla den 27 juli 2021. Efter utgångstiden uppstår problem med trafikåtkomlighet när en av switcharna har en efterföljande switchomstart, länkklaff, konfigurationsändring som utlöses av operatören, vMotion och andra nätverkshändelser. Certifikatutgång har inga motsvarande meddelanden i syslog, traps eller i användargränssnittet.

Berörda programvaruversioner, efter modell:
 

OS10-version	Modell
10.3.2ER3P1	Endast S5148F
10.4.0E. R3SP2 till 10.4.0E. R4SP2	Endast MX9116 och MX5108
10.4.1.4 till 10.4.3.6P5	Alla OS10-modeller (inklusive MX9116, MX5108 och S5148F)
10.5.0.0 till 10.5.0.7P3	Alla OS10-modeller (inklusive MX9116 och MX5108)

Lösning

Obs! I det bifogade teknikbladet finns en PDF-version av den här lösningen som du kan tillhandahålla till teknikern som utför uppgraderingen.

OBSERVERA: Isilon Backend Ethernet-användare bör inte följa procedurerna som beskrivs i den här artikeln. För Isilon läser användare KB-artikeln 185548: Dell-switchcertifikat upphör att gälla på Dell Z9100-ON-switchar som används för Isilon Backend Ethernet för mer information om problemet. Artikeln kräver en kundinloggning.

OBSERVERA:  ECS Gen3-användare bör inte följa de procedurer som beskrivs i den här artikeln. För ECS läser användare KB-artikeln 185691: DTA 185691: ECS: Dell OS10-switch X.509v3 säkerhetscertifikat upphör att gälla på ECS Front-End- och Back-End-switchar kan leda till dataotillgänglighet för mer information om problemet. Artikeln kräver en kundinloggning.

OBSERVERA: Användare av berörda versioner från 10.3.2.x till 10.4.2.x, certifikatuppdatering är inte tillgänglig. Användare måste uppgradera till 10.4.3.0 eller senare (10.5.0.x eller senare för MX) och måste följa tabellen nedan.   

Obs!  För PowerEdge MX-användare på 10.4.0E(R3SP2)- 10.4.0E (R4SP2). Om det inte går att uppgradera till den senaste baslinjen senast den 27 juli 2021 kontaktar du Dells tekniska support för att få hjälp med att uppdatera standardcertifikatet.

OBSERVERA: Följande OS10-versioner levereras med det nya standardcertifikatet som åtgärdar problemet med utgång av certifikatet:
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

ALERT: För användare som väljer att uppgradera till den senaste fasta programvaran måstedu följa uppgraderingssökvägen som anges i avsnittet Förbereder för en uppgradering i dokumentet Dell EMC SmartFabric OS10-installations-, uppgraderings- och nedgraderingsguiden på vår supportwebbplats.

För versionerna 10.4.3.0 till 10.5.0.7P3 måste användarna följa lösningen enligt den här tabellen för att förhindra nätverksproblem på grund av standardcertifikatets förfallodatum:       
 

Distributionskategori	Rekommenderad upplösning	Alternativt, om det går att uppgradera.
Icke-MX-switchar i icke-VLT icke-SFS-läge	Ingen åtgärd krävs.	Ingen åtgärd krävs.
MX- SFS mutan	Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder. För att det nya standardcertifikatet ska gälla är det ett MÅSTE att: – Starta om SFS primary – Starta också om en av VLT-peersna i varje VLT-par i multicluster-distributionen i multicluster-distributionen.	Uppgradera till >=10.5.1.7 före 27 juli 2021 Följ uppgraderingssökvägen som finns i dell EMC OpenManage Enterprise-Modular Edition för PowerEdge MX7000-chassin – Användarhandboken förMX7000-lösningsbaslinjer – sidan 15-17 visar de kompatibla baslinjerna för fast programvara för komponenter. Uppdateringsmatris för fast programvara för OS10 – sidan 22 innehåller information om uppgraderingssökvägen för OS10-switchar.
MX–Full-switch-läge
Switchar i VLT-läge utan SFS	Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder. För att det nya standardcertifikatet ska gälla är det ett MÅSTE att göra "shut" och "no shut" på VLT Primary-switchens VLTi-gränssnitt/-länk.	Uppgradera till version >=10.5.1.0, före 27 juli 2021
VxRail-SFS-Single Rack	Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder. Om du vill att det nya standardcertifikatet ska gälla är det ett MÅSTE: – Starta om SFS primary – Starta också om en av VLT-peersna i varje VLT-par i multicluster-distributionen i multicluster-distributionen.	Uppgradera till version >=10.5.2.2, före 27 juli2021
VxRail-SFS-Multi-Rack
S5148	Uppgradera till 10.4.3.x och uppdatera sedan standardcertifikatet till ett nytt standardcertifikat med hjälp av skripten som tillhandahålls av Dell på alla noder. Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder. För att det nya standardcertifikatet ska gälla är det ett MÅSTE att göra "shut" och "no shut" på VLT Primary-switchens VLTi-gränssnitt/-länk.	Samma som rekommenderad upplösning.

Obs! Ett underhållsfönster krävs för VLTi-länkklaff eller switch-omstart eftersom dessa kan störa nätverkstrafikens flöde. När du beräknar underhållsfönstret:       

• För skript kan du vänta 3 till 5 minuter per enhet. När skriptet körs påverkas inte trafiken.
• Om du vill uppgradera OS10 uppskattar du 30 minuter per nod när du går från en version till en annan.

Skriptpaketet "Dell Networking Default X.509 Certificate Update" är tillgängligt på Dell Digital Locker med din OS10-behörighet. Skriptpaketfilnamnet är "cert_upgrade_script" och innehåller en README-fil med detaljerade instruktioner om hur du kör skripten. Klicka på en switch i DDL-kontot och gå sedan till tillgängliga hämtningsbara filer för att se skriptpaketet.

Mer information om hur du loggar in och hämtar skript finns i Dell Networking Så här laddar du ner OS10 Cert_Upgrade_Script från Dell Digital Locker
Ytterligare steg för steg-information om hur du slutför certifikatuppdateringen finns i följande artiklar:

Välj ett

Dell Networking OS10 Så här kör du en certifikatuppdatering från Linux

Dell Networking OS10 Så här kör du en certifikatuppdatering direkt från OS10-switchen


Dell Networking OS10 Så här kör du certifikatuppdatering från Windows med Python

Här visas en video som visar hur du uppdaterar certifikatet med ett Python-skript.

OBS! Beroende på var du har sparat skriptfilen kan du ha en annan filsökväg än den som används i den här videon.





FÖRSIKTIGHET: Alla switchar i ett kluster eller VLT måste ha samma certifikat installerat, för kluster- eller VLT-kommunikation. Det är obligatoriskt att köra skriptet på alla noder i klustret och VLT under samma underhållsfönster.

När du har uppdaterat standardcertifikatet på switcharna noterar du följande:      

• Om du nedgraderar en annan programvaruversion med det gamla standardcertifikatet kan problemet uppstå igen.
• Om du startar på en annan partition som fortfarande har ett gammalt standardcertifikat kan problemet uppstå igen.
• Om du byter ut en switch mot en version med det gamla standardcertifikatet kan problemet uppstå igen.

Om något av dessa scenarier inträffar bör du:     

•   Använd skriptet för att uppdatera standardcertifikatet igen.

VARNING! Certifikatet används inte när alla system i ett kluster använder 10.5.1.0 eller senare. Om klustret körs med blandade versioner av OS10 med vissa noder som kör 10.5.0.x och tidigare. Sedan måste system som kör 10.5.1.x eller senare köra skriptet för att installera det nya certifikatet för att noderna ska bilda ett kluster.

Vissa nya switchar som levereras med 10.4.3 eller 10.5.0 har redan ett nytt standardcertifikat installerat. Dessutom har vissa switchar för servicebyte ett nytt standardcertifikat installerat. Dessa enheter identifieras med en etikett på enheten med texten "Cert Updated".

Så här använder du en sådan switch i VLT- eller SFS-klustret  

• Alla switchar i klustret måste ha det nya standardcertifikatet installerat.