Isilon CloudPools: CloudPools 액세스에 영향을 미치는 Amazon AWS의 인증서 공급자 변경
Summary: Amazon은 자사의 웹 서비스에 대한 인증 기관 인증서를 변경하고 있으며, 이는 CloudPools 액세스에 영향을 미칩니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Amazon 인증서 공급자 변경은 CloudPools 액세스에 영향을 미칩니다.
Cause
Amazon은 자사의 웹 서비스에 대한 인증 기관 인증서를 변경하고 있으며, 이는 CloudPools 액세스에 영향을 미칩니다.
Amazon 인증서 변경에 대한 자세한 내용은 아래 링크를 참조하십시오.
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS는 지원되는 공용 CloudPools 스토리지 공급업체에 쉽게 연결할 수 있도록 사전 설치된 인증서를 사용하여 구축됩니다. Dell은 향후 CloudPools 구성을 위해 이 새로운 인증서를 추가하는 패치를 개발하고 있습니다. 하지만 Amazon AWS에 CloudPools 아카이브를 사용하는 기존 고객의 경우 CloudPools 연결을 계속하려면 해결 섹션에 표시된 변경 사항을 적용해야 합니다.
Amazon 인증서 변경에 대한 자세한 내용은 아래 링크를 참조하십시오.
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS는 지원되는 공용 CloudPools 스토리지 공급업체에 쉽게 연결할 수 있도록 사전 설치된 인증서를 사용하여 구축됩니다. Dell은 향후 CloudPools 구성을 위해 이 새로운 인증서를 추가하는 패치를 개발하고 있습니다. 하지만 Amazon AWS에 CloudPools 아카이브를 사용하는 기존 고객의 경우 CloudPools 연결을 계속하려면 해결 섹션에 표시된 변경 사항을 적용해야 합니다.
Resolution
OneFS 8.1 이하:
.pem 파일의 클러스터 다운로드:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
사용자 .pem 파일 다운로드:
Amazon 공식 인증서 사이트(
https://www.amazontrust.com/repository/)에서 자체 서명된 PEM 인증서를 검색합니다.
클라이언트를 사용하여 다음 파일을 다운로드합니다.
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
이 파일을 클러스터로 이동합니다.
OneFS에서 인증서를 사용할 수 있도록 설정:
루트 사용자로 클러스터의 명령줄에서 .pem 파일이 이동된 디렉토리에서 시작하여 다음 단계를 수행합니다(을 .pem 파일 이름으로 대체).
- 인증서를 해당 디렉토리로 이동합니다.
# cp /ifs/.ifsvar/modules/cloud/cacert
- 인증서 디렉토리로 이동합니다.
# cd /ifs/.ifsvar/modules/cloud/cacert
- 다운로드한 5개의 .pem 파일 각각에 대해 이 프로세스를 따릅니다. 인증서용 해시를 가져옵니다.
# openssl x509 -hash -noout -in
- 위의 의 출력을 사용하여 에 대한 symlink를 생성합니다.
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(".0" 파일이 있는 경우 대신 .1 사용)
이것으로 OneFS 8.1 이하 버전에 인증서를 추가하는 작업이 완료되었습니다.
OneFS 8.2 이상의 경우:
cacert 디렉토리가 없으므로 /ifs/data/Isilon_Support와 같은 다른 디렉토리에서 다운로드를 수행해야 합니다.
.pem 파일의 클러스터 측 다운로드:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
사용자 .pem 파일 다운로드:
Amazon 공식 인증서 사이트(
https://www.amazontrust.com/repository/)에서 자체 서명된 PEM 인증서를 검색합니다.
클라이언트를 사용하여 다음 파일을 다운로드합니다.
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
이 파일을 클러스터로 이동합니다.
OneFS에서 인증서를 사용할 수 있도록 설정:
루트 사용자로 클러스터의 명령줄에서 .pem 파일이 이동된 디렉토리에서 시작하여 다음 단계를 수행합니다(을 .pem 파일 이름으로 대체).
- 인증서를 해당 디렉토리로 이동합니다.
# cp /ifs/data/Isilon_Support/
- 해당 디렉토리로 이동합니다.
# cd /ifs/data/Isilon_Support/
인증서를 인증서 관리 시스템으로 가져오는 방법:
# isi certificate authority import --certificate-path= --description=”” --name=
이 작업을 자동으로 수행하는 방법:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
가져오기 성공 확인:
# isi certificate authority list
새로 추가된 인증서 이름이 출력에 표시되어야 합니다.
RUP를 사용한 수정:
AWS S3 인증서를 Amazon Trust Services(8.2.2)로 업데이트합니다.
https://jira.cec.lab.emc.com/browse/PSCALE-58298
패치: [8.2.2_GA-RUP_2021-07][Multiple Userspace and Kernel Fixes](2021년 7월)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
타겟 Amazon 인증서의 가져오기 프로세스를 완료하려면 RUP를 적용하는 것 외에도 다음 명령을 실행해야 합니다.
# python -m isi.certs.provision
------------------
- 패치만 적용하면 가져오기 프로세스가 완료되지 않습니다.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- 타겟 Amazon 인증서 가져오기를 완료하려면 아래의 python 명령을 실행해야 합니다.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.