Isilon CloudPools: Amazon AWS sta cambiando il provider di certificati con conseguenze sull'accesso di CloudPools
Summary: Amazon sta cambiando l'autorità di certificazione per i suoi servizi web con conseguenze per l'accesso di CloudPools.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Il cambio del provider di certificati Amazon influisce sull'accesso di CloudPools.
Cause
Amazon sta cambiando autorità di certificazione per i suoi servizi web, con conseguenze sull'accesso di CloudPools.
Vedere il seguente link per informazioni dettagliate sul cambio dei certificati di Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS è dotato di certificati preinstallati per semplificare la connessione ai provider di storage CloudPools pubblici supportati. Dell sta lavorando a una patch di aggiunta di questo nuovo certificato per la configurazione futura di CloudPools, ma per i clienti esistenti che utilizzano l'archiviazione CloudPools in Amazon AWS, è necessario eseguire la modifica riportata nella sezione Risoluzione per continuare a consentire la connettività di CloudPools.
Vedere il seguente link per informazioni dettagliate sul cambio dei certificati di Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS è dotato di certificati preinstallati per semplificare la connessione ai provider di storage CloudPools pubblici supportati. Dell sta lavorando a una patch di aggiunta di questo nuovo certificato per la configurazione futura di CloudPools, ma per i clienti esistenti che utilizzano l'archiviazione CloudPools in Amazon AWS, è necessario eseguire la modifica riportata nella sezione Risoluzione per continuare a consentire la connettività di CloudPools.
Resolution
OneFS 8.1 e versioni precedenti:
Download dei file .pem sul lato cluster:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Download dei file .pem sul lato utente:
Recuperare il certificato PEM autofirmato appropriato dal sito ufficiale dei certificati Amazon:
https://www.amazontrust.com/repository/
Scaricare i seguenti file utilizzando un client:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Spostare questi file nel cluster.
Rendere i certificati disponibili per OneFS:
Come utente root nella riga di comando del cluster, partendo dalla directory in cui sono stati spostati i file .pem, seguire questa procedura (sostituire con il nome del file .pem):
- Spostare i certificati nella directory appropriata:
# cp /ifs/.ifsvar/modules/cloud/cacert
- Passare alla directory dei certificati:
# cd /ifs/.ifsvar/modules/cloud/cacert
- Eseguire questo processo per ciascuno dei cinque file .pem scaricati. Ottenere l'hash per il certificato:
# openssl x509 -hash -noout -in
- Creare un symlink al utilizzando l'output del precedente :
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
Se esiste un file ".0", utilizzare invece .1.
In questo modo viene completata l'aggiunta del certificato in OneFS 8.1 e versioni precedenti.
Per OneFS 8.2 e versioni successive:
Poiché la directory cacert non esiste, i download devono essere eseguiti in un'altra directory funzionante, ad esempio /ifs/data/Isilon_Support.
Download dei file .pem sul lato cluster:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Download dei file .pem sul lato utente:
Recuperare i certificati PEM autofirmati appropriati dal sito ufficiale dei certificati Amazon:
https://www.amazontrust.com/repository/
Scaricare i seguenti file utilizzando un client:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Spostare questi file nel cluster.
Rendere i certificati disponibili per OneFS:
Come utente root nella riga di comando del cluster, partendo dalla directory in cui è stato spostato il file .pem, seguire questa procedura (sostituire con il nome del file .pem):
- Spostare il certificato nella directory appropriata:
# cp /ifs/data/Isilon_Support/
- Passare al tale directory:
# cd /ifs/data/Isilon_Support/
Per importare il certificato nel nostro sistema di gestione dei certificati:
# isi certificate authority import --certificate-path= --description=”” --name=
Per eseguire questa operazione automaticamente:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Verifica della corretta importazione:
# isi certificate authority list
L'output deve mostrare i nomi dei certificati appena aggiunti.
Informazioni sulla correzione tramite pacchetto RUP:
Aggiornare il certificato AWS S3 ad Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298
PATCH: [8.2.2_GA-RUP_2021-07][Multiple Userspace and Kernel Fixes](luglio 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
Per completare il processo di importazione dei certificati Amazon, oltre all'applicazione del pacchetto RUP è necessario eseguire il comando che segue:
# python -m isi.certs.provision
------------------
- La sola applicazione della patch non completa il processo di importazione.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- Per completare l'importazione dei certificati Amazon, è necessario eseguire il comando python che segue.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.