Isilon CloudPools: Amazon AWS está cambiando de proveedores de certificados, lo que afecta el acceso a CloudPools
Summary: Amazon está cambiando el certificado de autoridad para sus servicios web, lo que afecta el acceso a CloudPools.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
El cambio del proveedor de certificados de Amazon afecta el acceso a CloudPools.
Cause
Amazon está cambiando el certificado de autoridad para sus servicios web, lo que afecta el acceso a CloudPools.
Consulte el siguiente enlace para obtener detalles sobre el cambio del certificado de Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS incluye certificados preinstalados para facilitar la conexión a nuestros proveedores de almacenamiento de CloudPools públicos soportados. Dell está trabajando en un parche que agrega este nuevo certificado para la configuración futura de CloudPools, pero para los clientes existentes que utilizan el archivado de CloudPools en Amazon AWS, el cambio que se muestra en la sección Resolución es necesario para continuar con la conectividad de CloudPools.
Consulte el siguiente enlace para obtener detalles sobre el cambio del certificado de Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS incluye certificados preinstalados para facilitar la conexión a nuestros proveedores de almacenamiento de CloudPools públicos soportados. Dell está trabajando en un parche que agrega este nuevo certificado para la configuración futura de CloudPools, pero para los clientes existentes que utilizan el archivado de CloudPools en Amazon AWS, el cambio que se muestra en la sección Resolución es necesario para continuar con la conectividad de CloudPools.
Resolution
OneFS 8.1 y versiones anteriores:
Descarga de archivos.pem en el clúster:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Descarga de los archivos.pem por el usuario:
Recupere el certificado PEM autofirmado correspondiente desde el sitio de certificados oficial de Amazon:
https://www.amazontrust.com/repository/
Mediante un cliente, descargue los siguientes archivos:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Transfiera estos archivos al clúster.
Ponga los certificados a disposición de OneFS:
Como usuario raíz en la línea de comandos del clúster y desde el directorio en el que se transfirieron los archivos .pem, siga estos pasos (reemplace con el nombre de archivo .pem):
- Transfiera los certificados al directorio correspondiente:
# cp /ifs/.ifsvar/modules/cloud/cacert
- Vaya al directorio certs:
# cd /ifs/.ifsvar/modules/cloud/cacert
- Siga este proceso para cada uno de los cinco archivos.pem descargados. Obtenga el hash para el certificado:
# openssl x509 -hash -noout -in
- Cree un symlink al utilizando el resultado anterior de :
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(Si existe un archivo ".0", utilice .1 en su lugar)
Esto completa la adición del certificado en OneFS 8.1 y versiones anteriores.
Para OneFS 8.2 y versiones posteriores:
Debido a que el directorio cacert no existe, las descargas se deben realizar en otro directorio, como /ifs/data/Isilon_Support, que funciona.
Descarga de archivos .pem en el clúster:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Descarga de los archivos.pem por el usuario:
Recupere los certificados PEM autofirmados correspondientes desde el sitio de certificados oficial de Amazon:
https://www.amazontrust.com/repository/
Mediante un cliente, descargue los siguientes archivos:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Transfiera estos archivos al clúster.
Ponga los certificados a disposición de OneFS:
Como usuario raíz en la línea de comandos del clúster y desde el directorio al que se transfirió el archivo .pem, siga estos pasos (reemplace con el nombre de archivo .pem):
- Transfiera el certificado al directorio correspondiente:
# cp /ifs/data/Isilon_Support/
- Vaya a ese directorio:
# cd /ifs/data/Isilon_Support/
Para importar el certificado a nuestro sistema de administración de certificados:
# isi certificate authority import --certificate-path= --description=”” --name=
Para hacer esto automáticamente:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Verificación de la importación correcta:
# isi certificate authority list
La salida debe mostrar los nombres de certificado recién agregados.
Con respecto a la reparación mediante el RUP:
Actualice el certificado de AWS S3 a Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298
PARCHE: [8.2.2_GA-RUP_2021-07] [Varios espacios de usuario y correcciones de kernel] (julio de 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
El siguiente comando se debe ejecutar además de aplicar el RUP para completar el proceso de importación de los certificados de Amazon de destino:
# python -m isi.certs.provision
------------------
- Aplicar solo el parche no completa el proceso de importación.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- Se debe ejecutar el siguiente comando de Python para que se complete la importación de los certificados de Amazon de destino.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.