Isilon CloudPools: Amazon AWS zmienia dostawców certyfikatów, co wpływa na dostęp do CloudPools
Summary: Firma Amazon zmienia certyfikat zaufany do świadczenia usług internetowych, co wpływa na dostęp do CloudPools.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Zmiana dostawcy certyfikatów Amazon wpływa na dostęp do CloudPools.
Cause
Firma Amazon zmienia certyfikat zaufany dla swoich usług internetowych, co ma wpływ na dostęp do CloudPools.
Patrz poniższe łącze, aby uzyskać szczegółowe informacje na temat zmiany certyfikatu Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS jest zbudowany z certyfikatów, które są wstępnie instalowane, aby umożliwić łatwe połączenie z naszymi obsługiwanymi publicznymi dostawcami usług przechowywania danych CloudPools. Firma Dell pracuje nad poprawką, która doda ten nowy certyfikat do przyszłych konfiguracji CloudPools, ale w przypadku obecnych klientów korzystających z archiwizacji CloudPools w Amazon AWS, aby kontynuować łączność z CloudPools, konieczna jest zmiana przedstawiona w sekcji Rozwiązanie.
Patrz poniższe łącze, aby uzyskać szczegółowe informacje na temat zmiany certyfikatu Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS jest zbudowany z certyfikatów, które są wstępnie instalowane, aby umożliwić łatwe połączenie z naszymi obsługiwanymi publicznymi dostawcami usług przechowywania danych CloudPools. Firma Dell pracuje nad poprawką, która doda ten nowy certyfikat do przyszłych konfiguracji CloudPools, ale w przypadku obecnych klientów korzystających z archiwizacji CloudPools w Amazon AWS, aby kontynuować łączność z CloudPools, konieczna jest zmiana przedstawiona w sekcji Rozwiązanie.
Resolution
Wersja OneFS 8.1 i starsze:
Pobieranie plików .pem z klastra:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Pobieranie plików .pem przez użytkownika:
Pobierz odpowiedni certyfikat PEM z podpisem własnym z oficjalnej witryny certyfikatów Amazon:
https://www.amazontrust.com/repository/
Skorzystaj z klienta i pobierz następujące pliki:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Przenieś te pliki do klastra.
Udostępnianie certyfikatów do OneFS:
Jako użytkownik root w wierszu poleceń klastra, zaczynając od katalogu, w którym zostały przeniesione pliki .pem, wykonaj następujące czynności (zastąp nazwą pliku .pem):
- Przenieś certyfikaty do odpowiedniego katalogu:
# cp /ifs/.ifsvar/modules/cloud/cacert
- Przejdź do katalogu certyfikatów:
# cd /ifs/.ifsvar/modules/cloud/cacert
- Postępuj zgodnie z tym procesem dla każdego z pięciu pobranych plików .pem. Uzyskaj funkcję skrótu certyfikatu:
# openssl x509 -hash -noout -in
- Utwórz symlink do przy użyciu danych wyjściowych z powyższego :
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(Jeśli istnieje plik „.0”, użyj .1)
Ukończenie dodawania certyfikatu w OneFS 8.1 i wcześniejszych wersjach.
W przypadku wersji OneFS 8.2 i nowszych:
Ponieważ katalog cacert nie istnieje, pliki należy pobierać do innego funkcjonującego katalogu, np. /ifs/data/Isilon_Support.
Pobieranie plików .pem po stronie klastra:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Pobieranie plików .pem przez użytkownika:
Pobierz odpowiednie certyfikaty PEM z podpisem własnym z oficjalnej witryny certyfikatów Amazon:
https://www.amazontrust.com/repository/
Skorzystaj z klienta i pobierz następujące pliki:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Przenieś te pliki do klastra.
Udostępnianie certyfikatów do OneFS:
Jako użytkownik root w wierszu poleceń klastra, zaczynając od katalogu, w którym zostały przeniesione pliki .pem, wykonaj następujące czynności (zastąp nazwą pliku .pem):
- Przenieś certyfikat do odpowiedniego katalogu:
# cp /ifs/data/Isilon_Support/
- Przejdź do tego katalogu:
# cd /ifs/data/Isilon_Support/
Aby zaimportować certyfikat do naszego systemu zarządzania certyfikatami:
# isi certificate authority import --certificate-path= --description=”” --name=
Aby zrobić to automatycznie:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Weryfikacja pomyślnego importu:
# isi certificate authority list
Dane wyjściowe powinny zawierać nowo dodane nazwy certyfikatów.
Informacje na temat naprawy za pomocą pakietu RUP:
Aktualizacja certyfikatu AWS S3 do usługi Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298
POPRAWKA: [8.2.2_GA-RUP_2021-07] [Wiele poprawek przestrzeni użytkownika i jądra] (lipiec 2021 r.)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
Poniższe polecenie należy uruchomić oprócz zastosowania pakietu RUP w celu zakończenia procesu importowania docelowych certyfikatów Amazon:
# python -m isi.certs.provision
------------------
- Zastosowanie jedynie poprawki nie kończy procesu importowania.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- Poniższe polecenie Python musi zostać uruchomione w celu zakończenia importu docelowych certyfikatów Amazon.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.