Isilon CloudPools: Amazon AWS verandert certificaatproviders die de toegang tot CloudPools beïnvloeden
Summary: Amazon wijzigt het autoriteitscertificaat voor hun webservices, wat van invloed is op de toegang tot CloudPools.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Wijziging van De Amazon-certificaatprovider heeft invloed op de toegang tot CloudPools.
Cause
Amazon wijzigt het autoriteitscertificaat voor hun webservices, wat van invloed is op de toegang tot CloudPools.
Zie de onderstaande koppeling voor meer informatie over de wijziging van het Amazon-certificaat:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS is gebouwd met certificaten die vooraf zijn geïnstalleerd om eenvoudig verbinding te maken met onze ondersteunde public CloudPools storageproviders. Dell werkt aan een patch die dit nieuwe certificaat toevoegt voor toekomstige CloudPools-configuratie, maar voor bestaande klanten die CloudPools archiveren naar Amazon AWS, is de wijziging die wordt weergegeven in het gedeelte Oplossing vereist om door te gaan met CloudPools-connectiviteit.
Zie de onderstaande koppeling voor meer informatie over de wijziging van het Amazon-certificaat:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS is gebouwd met certificaten die vooraf zijn geïnstalleerd om eenvoudig verbinding te maken met onze ondersteunde public CloudPools storageproviders. Dell werkt aan een patch die dit nieuwe certificaat toevoegt voor toekomstige CloudPools-configuratie, maar voor bestaande klanten die CloudPools archiveren naar Amazon AWS, is de wijziging die wordt weergegeven in het gedeelte Oplossing vereist om door te gaan met CloudPools-connectiviteit.
Resolution
OneFS 8.1 en eerder:
Clusterdownload van .pem-bestanden:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Gebruikers downloaden van de .pem-bestanden:
Haal het juiste zelfondertekende PEM-certificaat op van de officiële certificaatsite van Amazon:
https://www.amazontrust.com/repository/
Using a client, download de volgende bestanden:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Verplaats deze bestanden naar het cluster.
Certificaten beschikbaar maken voor OneFS:
Als rootgebruiker op de opdrachtregel op het cluster, beginnend in de map waarin de .pem-bestanden zijn verplaatst, volgt u deze stappen (vervang door de .pem-bestandsnaam):
- Verplaats de certificaten naar de juiste map:
# cp /ifs/.ifsvar/modules/cloud/cacert
- Ga naar de certs-map:
# cd /ifs/.ifsvar/modules/cloud/cacert
- Volg dit proces voor elk van de vijf .pem-bestanden die zijn gedownload. Download de hash voor het certificaat:
# openssl x509 -hash -noout -in
- Maak een symlink naar het met behulp van de uitvoer van de bovenstaande :
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(Als er een bestand '.0' bestaat, gebruikt u in plaats daarvan .1)
Hiermee wordt het toevoegen van het certificaat op OneFS 8.1 en eerdere versies voltooid.
Voor OneFS 8.2 en hoger:
Omdat de cacert-map niet bestaat, moeten de downloads worden uitgevoerd in een andere map, zoals /ifs/data/Isilon_Support, die werkt.
Cluster-side download van .pem-bestanden:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Gebruikers downloaden van de .pem-bestanden:
Haal de juiste zelfondertekende PEM-certificaten op van de officiële certificaatsite van Amazon:
https://www.amazontrust.com/repository/
Using a client, download de volgende bestanden:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Verplaats dit bestand naar het cluster.
Certificaten beschikbaar maken voor OneFS:
Als rootgebruiker op de opdrachtregel op het cluster, beginnend in de directory waarin het .pem-bestand is verplaatst, volgt u deze stappen (vervang door de bestandsnaam .pem):
- Verplaats het certificaat naar de juiste map:
# cp /ifs/data/Isilon_Support/
- Ga naar die map:
# cd /ifs/data/Isilon_Support/
Het certificaat importeren in ons certificaatbeheersysteem:
# isi certificate authority import --certificate-path= --description="" --name=
Om dit automatisch te doen:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Verificatie van geslaagde import:
# isi-certificaatautoriteitlijst
De uitvoer moet de nieuw toegevoegde certificaatnamen weergeven.
Met betrekking tot oplossing met behulp van RUP:
Werk AWS S3-certificering bij naar Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298 PATCH: [8.2.2_GA-RUP_2021-07] [Meerdere userspace- en kerneloplossingen] (juli 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250 De onderstaande opdracht moet worden uitgevoerd naast het toepassen van RUP om het importproces van de doel-Amazon-certificaten te voltooien:
# python -m isi.certs.provision
------------------
- Alleen het toepassen van de patch voltooit het importproces niet.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazoni8220s-1
#
- De onderstaande python-opdracht moet worden uitgevoerd om het importeren van de doel-Amazon-certificaten te voltooien.
i8220s-1# python -m isi.certs.provisioni8220s-1
#
i8220s-1# isi certificate authority list | grep Amazon18ce6cf
AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:001ba5b2a
AmazonTrustServices_Root_CA2 geldig 2040-05-26T09:00:008ecde68
AmazonTrustServices_Root_CA1 geldig 2038-01-17T09:00:00e35d284
AmazonTrustServices_Root_CA4 geldig 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.