Isilon CloudPools. Amazon AWS меняет поставщиков сертификатов, что влияет на доступ к CloudPools
Summary: Компания Amazon изменяет сертификат источника сертификатов для своих веб-служб, что влияет на доступ к CloudPools.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Изменение поставщика сертификатов Amazon влияет на доступ к CloudPools.
Cause
Компания Amazon изменяет сертификат источника сертификатов для своих веб-служб, что влияет на доступ к CloudPools.
Подробные сведения об изменении сертификата Amazon см. по следующей ссылке:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS содержит предварительно установленные сертификаты, которые обеспечивают простое подключение к поддерживаемым общедоступным поставщикам хранилищ CloudPools. Dell работает над исправлением, добавляющим этот новый сертификат для будущей конфигурации CloudPools, но для сохранения возможности подключения CloudPools у существующих заказчиков, использующих CloudPools для архивирования на Amazon AWS, требуется изменение, указанное в разделе «Решение».
Подробные сведения об изменении сертификата Amazon см. по следующей ссылке:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS содержит предварительно установленные сертификаты, которые обеспечивают простое подключение к поддерживаемым общедоступным поставщикам хранилищ CloudPools. Dell работает над исправлением, добавляющим этот новый сертификат для будущей конфигурации CloudPools, но для сохранения возможности подключения CloudPools у существующих заказчиков, использующих CloudPools для архивирования на Amazon AWS, требуется изменение, указанное в разделе «Решение».
Resolution
OneFS 8.1 и более ранние версии.
Кластерное скачивание файлов .pem.
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Скачивание файлов .pem пользователем.
Получите соответствующий самозаверяющий сертификат PEM на официальном сайте сертификатов Amazon:
https://www.amazontrust.com/repository/
Используя клиент, скачайте следующие файлы:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Переместите эти файлы в кластер.
Предоставление доступа к сертификатам в OneFS.
В качестве пользователя root в командной строке кластера, начиная с каталога, куда перемещены файлы .pem, выполните следующие действия (замените именем файла .pem):
- Переместите сертификаты в соответствующий каталог:
# cp /ifs/.ifsvar/modules/cloud/cacert
- Переместите в каталог certs:
# cd /ifs/.ifsvar/modules/cloud/cacert
- Выполните следующие действия для каждого из пяти скачанных файлов .pem. Получите хэш для сертификата:
# openssl x509 -hash -noout -in
- Создайте символическую ссылку на с помощью вывода из выше:
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(Если существует файл «.0», используйте вместо него .1)
На этом добавление сертификата в OneFS 8.1 и более ранние версии завершено.
Для OneFS 8.2 и более поздних версий.
Так как каталог cacert не существует, следует скачивать файлы в другой каталог, например /ifs/data/Isilon_Support.
Скачивание файлов .pem на стороне кластера.
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Скачивание файлов .pem пользователем.
Получите соответствующие самозаверяющие сертификаты PEM на официальном сайте сертификатов Amazon:
https://www.amazontrust.com/repository/
Используя клиент, скачайте следующие файлы:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Переместите эти файлы в кластер.
Предоставление доступа к сертификатам в OneFS.
В качестве пользователя root в командной строке кластера, начиная с каталога, куда перемещены файлы .pem, выполните следующие действия (замените именем файла .pem):
- Переместите сертификат в соответствующий каталог:
# cp /ifs/data/Isilon_Support/
- Переместите в этот каталог:
# cd /ifs/data/Isilon_Support/
Чтобы импортировать сертификат в нашу систему управления сертификатами, выполните следующие действия.
# isi certificate authority import --certificate-path= --description=”” --name=
Для автоматического выполнения этого действия, введите следующую команду.
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Проверка успешного импорта.
# isi certificate authority list
В выходных данных должны отображаться только что добавленные имена сертификатов.
Примечание об исправлении с помощью RUP.
Обновите сертификат AWS S3 до Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298
ИСПРАВЛЕНИЕ. [8.2.2_GA-RUP_2021-07][Несколько исправлений пользовательского пространства и ядра](июль 2021 г.)
https://jira.cec.lab.emc.com/browse/PSP-1250
Для завершения процесса импорта целевых сертификатов Amazon в дополнение к применению RUP необходимо выполнить следующую команду.
# python -m isi.certs.provision
------------------
- Применение только исправления не завершает процесс импорта.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- Для завершения импорта целевых сертификатов Amazon необходимо выполнить следующую команду Python.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.