Isilon CloudPools : Amazon AWS modifie les fournisseurs de certificats qui affectent l’accès à CloudPools
Summary: Amazon modifie son certificat d’autorité pour ses services Web, ce qui affecte l’accès à CloudPools.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
La modification du fournisseur de certificats Amazon affecte l’accès à CloudPools.
Cause
Amazon modifie son certificat d’autorité pour ses services Web, ce qui affecte l’accès à CloudPools.
Reportez-vous au lien ci-dessous pour plus d’informations sur la modification de certificat Amazon :
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS est conçu avec des certificats préinstallés pour faciliter la connexion à nos fournisseurs de stockage CloudPools publics pris en charge. Dell travaille sur un correctif qui ajoute ce nouveau certificat pour la future configuration de CloudPools, mais pour les clients existants utilisant l’archivage CloudPools sur Amazon AWS, la modification affichée dans la section Résolution est requise pour poursuivre la connectivité CloudPools.
Reportez-vous au lien ci-dessous pour plus d’informations sur la modification de certificat Amazon :
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS est conçu avec des certificats préinstallés pour faciliter la connexion à nos fournisseurs de stockage CloudPools publics pris en charge. Dell travaille sur un correctif qui ajoute ce nouveau certificat pour la future configuration de CloudPools, mais pour les clients existants utilisant l’archivage CloudPools sur Amazon AWS, la modification affichée dans la section Résolution est requise pour poursuivre la connectivité CloudPools.
Resolution
OneFS 8.1 et versions antérieures :
Téléchargement en cluster des fichiers .pem :
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Téléchargement par l’utilisateur des fichiers .pem :
récupérez le certificat PEM auto-signé approprié à partir du site de certificat officiel d’Amazon :
https://www.amazontrust.com/repository/
Utilisation d’un client, téléchargez les fichiers suivants :
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Déplacez ces fichiers sur le cluster.
Rendre les certificats disponibles pour OneFS :
en tant qu’utilisateur root sur la ligne de commande du cluster, en commençant par le répertoire dans lequel les fichiers .pem ont été déplacés, procédez comme suit (remplacez par le nom de fichier .pem) :
- Déplacez les certificats vers le répertoire approprié :
# cp /ifs/.ifsvar/modules/cloud/cacert
- Accédez au répertoire des certificats :
# cd /ifs/.ifsvar/modules/cloud/cacert
- Suivez ce processus pour chacun des cinq fichiers .pem téléchargés. Obtenez le hachage du certificat :
# openssl x509 -hash -noout -in
- Créez un lien symbolique vers le fichier à l’aide de la sortie ci-dessus :
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(S’il existe un fichier « .0 », utilisez .1 à la place)
Cela termine l’ajout du certificat sur OneFS 8.1 et les versions antérieures.
Pour OneFS 8.2 et versions ultérieures :
étant donné que le répertoire cacert n’existe pas, les téléchargements doivent être effectués dans un autre répertoire, tel que /ifs/data/Isilon_Support, qui fonctionne.
Téléchargement côté cluster des fichiers .pem :
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Téléchargement par l’utilisateur des fichiers .pem :
récupérez les certificats PEM auto-signés appropriés à partir du site de certificat officiel d’Amazon :
https://www.amazontrust.com/repository/
Utilisation d’un client, téléchargez les fichiers suivants :
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Déplacez ces fichiers sur le cluster.
Rendre les certificats disponibles pour OneFS :
en tant qu’utilisateur root sur la ligne de commande du cluster, en commençant par le répertoire dans lequel le fichier .pem a été déplacé, procédez comme suit (remplacez par le nom de fichier .pem) :
- Déplacez le certificat vers le répertoire approprié :
# cp /ifs/data/Isilon_Support/
- Accédez à ce répertoire :
# cd /ifs/data/Isilon_Support/
Pour importer le certificat dans notre système de gestion des certificats :
# isi certificate authority import --certificate-path= --description=”” --name=
Pour ce faire automatiquement :
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Vérification de la réussite de l’importation :
# isi certificate authority list
La sortie doit afficher les noms de certificat nouvellement ajoutés.
Concernant la correction à l’aide de RUP :
mettez à jour le certificat AWS S3 vers Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298
CORRECTIF : [8.2.2_GA-RUP_2021-07] [Plusieurs correctifs d’espace utilisateur et de noyau] (juillet 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
La commande ci-dessous doit être exécutée en plus de l’application de RUP afin de terminer le processus d’importation des certificats Amazon cibles :
# python -m isi.certs.provision
------------------
- L’application du correctif uniquement ne termine pas le processus d’importation.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- La commande python ci-dessous doit être exécutée pour que l’importation des certificats Amazon cibles se termine.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.