Термін дії сертифіката Dell Networking OS10 і рішення

Певні версії OS10 (див. Відповідні випуски програмного забезпечення) містять сертифікат за замовчуванням, який використовується для створення вузла VLT і формування кластера SFS. Термін дії цього сертифіката за замовчуванням закінчується 27 липня 2021 року. Після закінчення терміну дії проблеми з доступністю трафіку виникають, коли один із цих перемикачів має наступне перезавантаження комутатора, клапан з'єднання, зміну конфігурації, ініційовану оператором, vMotion та інші мережеві події. Термін дії сертифіката не має відповідних повідомлень у системному журналі, пастках або в інтерфейсі користувача.

Релізи програмного забезпечення, яких це стосується, за моделями:
 

Версія OS10	Модель
10.3.2ER3P1	Тільки для S5148F
10.4.0Е. від R3SP2 до 10.4.0E. R4SP2	Тільки для MX9116 і MX5108
від 10.4.1.4 до 10.4.3.6P5	Всі моделі OS10 (включно з MX9116, MX5108 і S5148F)
від 10.5.0.0 до 10.5.0.7P3	Усі моделі OS10 (включно з MX9116 і MX5108)

Рішення

ПРИМІТКА. У доданому технічному аркуші наведено версію цієї роздільної здатності у форматі PDF, яку ви можете надати інженеру, який виконуватиме оновлення.

ПРИМІТКА: Користувачі Isilon Backend Ethernet не повинні дотримуватися процедур, описаних у цій статті. Про Isilon користувачі дивляться статтю KB 185548: Термін дії сертифіката перемикача Dell на комутаторах Dell Z9100-ON, які використовуються для Isilon Backend Ethernet , щоб отримати детальну інформацію про проблему. Стаття вимагає введення логіна клієнта.

ПРИМІТКА:  Користувачі пристроїв ECS Gen3 не повинні дотримуватися процедур, описаних у цій статті. Для ECS користувачі дивляться статтю КБ 185691: ДТА 185691: ЕКС: Закінчення терміну дії сертифіката безпеки Dell OS10 Switch X.509v3 на передніх і внутрішніх комутаторах ECS може призвести до недоступності даних для отримання детальної інформації про проблему. Стаття вимагає введення логіна клієнта.

ПРИМІТКА: Для користувачів версій, яких це стосується від 10.3.2.x до 10.4.2.x, оновлення сертифіката недоступне. Користувачі повинні оновитися до версії 10.4.3.0 або новішої версії (10.5.0.x або новішої для MX) і дотримуватися наведеної нижче таблиці.   

ПРИМІТКА.  Для користувачів PowerEdge MX на 10.4.0E (R3SP2) - 10.4.0E (R4SP2), якщо оновлення до останнього базового рівня неможливе до 27 липня 2021 року, зверніться до служби технічної підтримки Dell за допомогою з оновленням сертифіката за замовчуванням.

ПРИМІТКА: Наступні версії випуску OS10 поставляються з новим сертифікатом за замовчуванням, який вирішує цю проблему закінчення терміну дії сертифіката:
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

ALERT: Користувачі, які вирішили оновитися до останньої версії мікропрограми, ПОВИННІдотримуватися шляху оновлення, зазначеного в розділі «Підготовка до оновлення » документа «Посібник із встановлення, оновлення та пониження версії Dell EMC SmartFabric OS10» на нашому сайті підтримки.

У випусках від 10.4.3.0 до 10.5.0.7P3 користувачі повинні дотримуватися роздільної здатності, наведеної в цій таблиці, щоб запобігти проблемам із мережею через закінчення терміну дії сертифіката за замовчуванням:       
 

Категорія розгортання	Рекомендована роздільна здатність	Або ж, якщо можливий апгрейд.
Комутатори без MX у режимі без VLT без SFS	Ніяких дій робити не потрібно.	Ніяких дій робити не потрібно.
МХ-ДФС мода	Оновіть сертифікат за замовчуванням до нового сертифіката за замовчуванням за допомогою сценаріїв, наданих Dell на всіх вузлах. Щоб новий сертифікат за замовчуванням вступив в силу, ОБОВ'ЯЗКОВО: - Reboot SFS primary - Також, при розгортанні мультикластерів, перезавантажте один з вузлів VLT в кожній парі VLT.	Оновлення до >=10.5.1.7 до 27 липня 2021 р. Дотримуйтесь шляху оновлення, описаного в посібнику користувача Dell EMC OpenManage Enterprise-Modular Edition для шасі PowerEdge MX7000Базові лінії рішення MX7000 - на сторінках 15-17 показані базові лінії прошивки сумісних компонентів. Матриця оновлень прошивки OS10 - Сторінка 22 детально описує шлях оновлення для комутаторів OS10.
MX-Режим повного перемикання
Комутатори в режимі VLT без SFS	Оновіть сертифікат за замовчуванням до нового сертифіката за замовчуванням за допомогою сценаріїв, наданих Dell на всіх вузлах. Щоб новий сертифікат за замовчуванням діяв, ОБОВ'ЯЗКОВО виконайте «shut» і «no shut» на інтерфейсі/з'єднанні VLTi основного комутатора VLT.	Оновлення до версії >=10.5.1.0, до 27 липня 2021 р.
VxRail-SFS - Одинарна стійка	Оновіть сертифікат за замовчуванням до нового сертифіката за замовчуванням за допомогою сценаріїв, наданих Dell на всіх вузлах. Щоб новий сертифікат за замовчуванням вступив в силу, НЕОБХІДНО: - Reboot SFS primary - Також, при розгортанні мультикластерів, перезавантажте один з вузлів VLT в кожній парі VLT.	Оновлення до версії >=10.5.2.2, до 27 липня2021 р.
VxRail-SFS-Multi-Rack
Р5148	Оновіть сертифікат до 10.4.3.x, а потім оновіть сертифікат за замовчуванням до нового сертифіката за замовчуванням за допомогою сценаріїв, наданих Dell на всіх вузлах. Оновіть сертифікат за замовчуванням до нового сертифіката за замовчуванням за допомогою сценаріїв, наданих Dell на всіх вузлах. Щоб новий сертифікат за замовчуванням діяв, ОБОВ'ЯЗКОВО виконайте «shut» і «no shut» на інтерфейсі/з'єднанні VLTi основного комутатора VLT.	Така сама, як і рекомендована роздільна здатність.

ПРИМІТКА. Вікно технічного обслуговування необхідне для заслінки з'єднання VLTi або перезавантаження перемикача, оскільки вони потенційно можуть порушити потік мережевого трафіку. Під час розрахунку вікна технічного обслуговування:       

• Для сценарію зачекайте від 3 до 5 хвилин на кожен пристрій. Під час роботи сценарію це не вплине на трафік.
• Для оновлення OS10 оцініть 30 хвилин на вузол при переході від одного релізу до іншого.

Пакет сценаріїв «Dell Networking Default X.509 Certificate Update» доступний на Dell Digital Locker із вашим правом на OS10. Ім'я файлу пакета Script – "cert_upgrade_script", і воно містить файл README, який містить докладні інструкції щодо запуску сценаріїв. Натисніть перемикач у своєму обліковому записі DDL, а потім перейдіть до доступних завантажень, щоб переглянути пакет сценаріїв.

Для отримання більш детальної інформації про вхід і завантаження скрипта дивіться в Dell Networking: Як завантажити OS10 Cert_Upgrade_Script з Dell Digital Locker
Подальша покрокова детальна інформація про те, як завершити оновлення сертифіката, доступна в цих статтях:

Виберіть один

Dell Networking OS10 Як запустити оновлення сертифіката з Linux

Dell Networking OS10 Як запустити оновлення сертифіката безпосередньо з комутатора

OS10
Dell Networking OS10 Як запустити оновлення сертифіката з Windows за допомогою Python

Ось відео, яке показує процес оновлення сертифіката за допомогою сценарію python.

ПРИМІТКИ: Залежно від того, де у вас збережено файл сценарію, шлях до файлу може відрізнятися від того, що використовується в цьому відео.





ОБЕРЕЖНІСТЬ: Усі комутатори в кластері або VLT повинні мати однаковий сертифікат, який інстальовано для зв'язку кластера або VLT. Обов'язковим є запуск скрипта на всіх вузлах кластера та VLT під час одного вікна обслуговування.

Після оновлення сертифіката за замовчуванням на перемикачах зверніть увагу на наступне:      

• Якщо ви знизите версію іншого програмного забезпечення зі старим сертифікатом за замовчуванням, проблема може виникнути знову.
• Якщо ви завантажуєтеся на іншому розділі, який все ще має старий сертифікат за замовчуванням, ви можете знову зіткнутися з проблемою.
• Якщо замінити перемикач на версію зі старим сертифікатом за замовчуванням, проблема може виникнути знову.

У разі виникнення будь-якого з цих сценаріїв ви повинні:     

•   Використовуйте цей сценарій, щоб знову оновити сертифікат за замовчуванням.

ОПОВІЩЕННЯ: Сертифікат не використовується, якщо всі системи в кластері використовують 10.5.1.0 або новішу. Якщо кластер працює зі змішаними версіями OS10 з деякими вузлами під керуванням 10.5.0.x і нижче. Потім системи під управлінням 10.5.1.x або вище повинні запустити сценарій для встановлення нового сертифіката для вузлів, щоб сформувати кластер.

На деяких нових комутаторах із версіями 10.4.3 або 10.5.0 уже встановлено новий сертифікат за замовчуванням. Крім того, на деяких перемикачах сервісної заміни встановлено новий сертифікат за замовчуванням. Ці одиниці ідентифікуються за допомогою наклейки на пристрої з написом «Оновлено сертифікат».

Для використання такого комутатора в кластері VLT або SFS  

• На всіх перемикачах у кластері має бути встановлений новий сертифікат за замовчуванням.