Isilon CloudPools: Amazon AWS ändert Zertifikatsanbieter, was sich auf den CloudPools-Zugriff auswirkt

Summary: Amazon ändert die Zertifizierungsstelle für seine Webservices, was sich auf den CloudPools-Zugriff auswirkt.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Die Änderung des Amazon-Zertifikatsanbieters wirkt sich auf den CloudPools-Zugriff aus.

Cause

Amazon ändert die Zertifizierungsstelle für seine Webservices, was sich auf den CloudPools-Zugriff auswirkt.

Details zur Amazon-Zertifikatsänderung finden Sie unter dem folgenden Link:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/

OneFS wurde mit vorinstallierten Zertifikaten ausgestattet, um eine einfache Verbindung zu unseren unterstützten Public CloudPools-Storage-Anbietern zu ermöglichen. Dell arbeitet an einem Patch, der dieses neue Zertifikat für die zukünftige CloudPools-Konfiguration hinzufügt, aber für bestehende KundInnen, die die CloudPools-Archivierung in Amazon AWS verwenden, ist die im Abschnitt „Lösung“ angezeigte Änderung erforderlich, um die CloudPools-Konnektivität aufrechtzuerhalten.

Resolution

OneFS 8.1 und früher:

Herunterladen von .pem-Dateien im Cluster:

# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem

Nutzerdownload der .pem-Dateien:
Rufen Sie das entsprechende selbstsignierte PEM-Zertifikat von der offiziellen Zertifikatswebsite von Amazon ab:
https://www.amazontrust.com/repository/

Wenn Sie einen Client verwenden, laden Sie die folgenden Dateien herunter:

Verschieben Sie diese Dateien in das Cluster.

Bereitstellen von Zertifikaten für OneFS:
Führen Sie als Root-NutzerIn in der Befehlszeile auf dem Cluster ab dem Verzeichnis, in das die .pem-Dateien verschoben wurden, die folgenden Schritte aus (ersetzen Sie durch den .pem-Dateinamen):

  1. Verschieben Sie die Zertifikate in das entsprechende Verzeichnis:

# cp /ifs/.ifsvar/modules/cloud/cacert

  1. Wechseln Sie in das Zertifikatverzeichnis:

# cd /ifs/.ifsvar/modules/cloud/cacert

  1. Befolgen Sie diesen Prozess für jede der fünf heruntergeladenen .pem-Dateien. Rufen Sie den Hash für das Zertifikat ab:

# openssl x509 -hash -noout -in

  1. Erstellen Sie einen Symlink zur mithilfe der Ausgabe von oben :

# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0

(Wenn die Datei „.0“ vorhanden ist, verwenden Sie stattdessen .1.)

Damit ist das Hinzufügen des Zertifikats auf OneFS 8.1 und früheren Versionen abgeschlossen.


Für OneFS 8.2 und höher:
Da das Cacert-Verzeichnis nicht vorhanden ist, sollten die Downloads in ein anderes, geeignetes Verzeichnis durchgeführt werden, z. B. /ifs/data/Isilon_Support, das funktioniert.

Clusterseitiger Download von .pem-Dateien:

# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem

Nutzerdownload der .pem-Dateien:
Rufen Sie die entsprechenden selbstsignierten PEM-Zertifikate von der offiziellen Zertifikatswebsite von Amazon ab:
https://www.amazontrust.com/repository/

Laden Sie mit einem Client die folgenden Dateien herunter:

Verschieben Sie diese Datei auf das Cluster.

Bereitstellen von Zertifikaten für OneFS:
Führen Sie als Root-NutzerIn in der Befehlszeile auf dem Cluster ab dem Verzeichnis, in das die .pem-Datei verschoben wurde, die folgenden Schritte aus (ersetzen Sie durch den .pem-Dateinamen):

  1. Verschieben Sie das Zertifikat in das entsprechende Verzeichnis:

# cp /ifs/data/Isilon_Support/

  1. Wechseln Sie zu diesem Verzeichnis:

# cd /ifs/data/Isilon_Support/

So importieren Sie das Zertifikat in unser Zertifikatmanagementsystem:

# isi certificate authority import --certificate-path= --description=”” --name=

Gehen Sie wie folgt vor, um dies automatisch zu tun:

# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert

Überprüfung des erfolgreichen Imports:

# isi certificate authority list

Die Ausgabe sollte die neu hinzugefügten Zertifikatnamen anzeigen.


In Bezug auf die Fehlerbehebung mithilfe von RUP:
Aktualisieren Sie das AWS S3-Zertifikat auf Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298

PATCH: [8.2.2_GA-RUP_2021-07] [Mehrere Userspace- und Kernel-Korrekturen] (Juli 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250

Der folgende Befehl muss zusätzlich zum Anwenden von RUP ausgeführt werden, um den Importprozess der Amazon-Zielzertifikate abzuschließen:

# python -m isi.certs.provision

------------------

  1. Wenn Sie nur den Patch anwenden, wird der Importvorgang nicht abgeschlossen.

i8220s-1#  isi upgrade patches list
Patch Name                    Description                         Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------

i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#

  1. Der folgende Python-Befehl muss ausgeführt werden, damit der Import der Amazon-Zielzertifikate abgeschlossen werden kann.

i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3                      valid   2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2                      valid   2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1                      valid   2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4                      valid   2040-05-26T09:00:00

Affected Products

Isilon SmartPools
Article Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.