Isilon CloudPools: O Amazon AWS está alterando provedores de certificados que afetam o acesso ao CloudPools
Summary: A Amazon está alterando seu certificado de autoridade para seus web services, o que afeta o acesso ao CloudPools.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
A alteração do provedor de certificados da Amazon afeta o acesso ao CloudPools.
Cause
A Amazon está alterando seu certificado de autoridade para os web services, o que afeta o acesso ao CloudPools.
Consulte o link abaixo para obter detalhes sobre a alteração do certificado da Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
O OneFS foi criado com certificados pré-instalados para permitir a facilidade de conexão com nossos provedores de armazenamento públicos compatíveis com o CloudPools. A Dell está trabalhando em um patch que adiciona esse novo certificado para a futura configuração do CloudPools, mas para os clientes existentes que usam o arquivamento do CloudPools na Amazon AWS, a alteração mostrada na seção Resolution é necessária para continuar com a conectividade do CloudPools.
Consulte o link abaixo para obter detalhes sobre a alteração do certificado da Amazon:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
O OneFS foi criado com certificados pré-instalados para permitir a facilidade de conexão com nossos provedores de armazenamento públicos compatíveis com o CloudPools. A Dell está trabalhando em um patch que adiciona esse novo certificado para a futura configuração do CloudPools, mas para os clientes existentes que usam o arquivamento do CloudPools na Amazon AWS, a alteração mostrada na seção Resolution é necessária para continuar com a conectividade do CloudPools.
Resolution
OneFS 8.1 e anteriores:
download em cluster de arquivos.pem:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Download do usuário dos arquivos.pem:
recupere o certificado PEM autoassinado apropriado do site oficial de certificados da Amazon:
https://www.amazontrust.com/repository/
Usando um cliente, faça download dos seguintes arquivos:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Mova esses arquivos para o cluster.
Disponibilizando certificados para o OneFS:
como o usuário root na linha de comando do cluster, a partir do diretório no qual os arquivos.pem foram movidos, siga estas etapas (substitua pelo nome de arquivo.pem):
- Mova os certificados para o diretório apropriado:
# cp /ifs/.ifsvar/modules/cloud/cacert
- Vá para o diretório certs:
# cd /ifs/.ifsvar/modules/cloud/cacert
- Siga este processo para cada um dos cinco arquivos.pem baixados. Obtenha o hash do certificado:
# openssl x509 -hash -noout -in
- Crie um symlink para o usando a saída acima :
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(Se houver um arquivo ".0", use .1 em vez disso)
Isso conclui a adição do certificado no OneFS 8.1 e nas versões anteriores.
Para o OneFS 8.2 e posterior:
como o diretório cacert não existe, os downloads devem ser feitos em outro diretório, como /ifs/data/Isilon_Support, that works.
Download dos arquivos .pem em todo o cluster:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Download do usuário dos arquivos.pem:
recupere o certificado PEM autoassinado apropriado do site oficial de certificados da Amazon:
https://www.amazontrust.com/repository/
Usando um cliente, faça download dos seguintes arquivos:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Mova esses arquivos para o cluster.
Disponibilizando certificados para o OneFS:
como o usuário root na linha de comando do cluster, a partir do diretório no qual os arquivos.pem foram movidos, siga estas etapas (substitua pelo nome de arquivo.pem):
- Mova o certificado para o diretório apropriado:
# cp /ifs/data/Isilon_Support/
- Mova para esse diretório:
# cd /ifs/data/Isilon_Support/
Para importar o certificado para nosso sistema de gerenciamento de certificados:
# isi certificate authority import --certificate-path= --description=”” --name=
Para fazer isso automaticamente:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Verificação da importação bem-sucedida:
# isi certificate authority list
O resultado deve mostrar os nomes de certificado recém-adicionados.
em relação à correção usando RUP:
atualize o certificado do AWS S3 para Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298
PATCH: [8.2.2_GA-RUP_2021-07][Multiple Userspace and Kernel Fixes](July 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
O comando abaixo deve ser executado além da aplicação de RUP para concluir o processo de importação dos certificados Amazon de destino:
# python -m isi.certs.provision
------------------
- A aplicação apenas do patch não conclui o processo de importação.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- O comando python abaixo deve ser executado para que a importação dos certificados Amazon de destino seja concluída.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.