Isilon CloudPools:Amazon AWS 正在變更會影響 CloudPools 存取的憑證提供者
Summary: Amazon 正在變更其 Web 服務的授權憑證,這會影響 CloudPools 存取。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Amazon 憑證提供者變更會影響 CloudPools 存取。
Cause
Amazon 正在變更其 Web 服務的授權憑證,這會影響 CloudPools 存取。
請參閱以下連結,瞭解 Amazon 憑證變更的詳細資料:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS 內建預先安裝的憑證,以便輕鬆連線至我們支援的公有 CloudPools 儲存供應商。Dell 正在進行一個修補程式,該修補程式會針對未來的 CloudPools 組態新增此新憑證,但對於使用 CloudPools 封存至 Amazon AWS 的現有客戶,必須進行「解決方案」區段中顯示的變更才能繼續進行 CloudPools 連線。
請參閱以下連結,瞭解 Amazon 憑證變更的詳細資料:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS 內建預先安裝的憑證,以便輕鬆連線至我們支援的公有 CloudPools 儲存供應商。Dell 正在進行一個修補程式,該修補程式會針對未來的 CloudPools 組態新增此新憑證,但對於使用 CloudPools 封存至 Amazon AWS 的現有客戶,必須進行「解決方案」區段中顯示的變更才能繼續進行 CloudPools 連線。
Resolution
OneFS 8.1 及更早版本:
.pem 檔案的叢集下載:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
使用者下載 .pem 檔案:
從 Amazon 官方憑證網站擷取適當的自我簽署 PEM 憑證:
https://www.amazontrust.com/repository/
使用用戶端,下載下列檔案:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
將這些檔案移到叢集上。
提供 OneFS 的憑證:
以叢集命令列上的根使用者身分 (在 .pem 檔案的移動目的地目錄中啟動) 遵循下列步驟 (以 .pem 檔案名稱取代 ):
- 將憑證移至適當的目錄:
# cp /ifs/.ifsvar/modules/cloud/cacert
- 移入憑證目錄:
# cd /ifs/.ifsvar/modules/cloud/cacert
- 針對下載的五個 .pem 檔案,請遵循此程序。取得憑證的雜湊:
# openssl x509 -hash -noout -in
- 使用上述 的輸出建立 的 symlink:
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(如果已有「.0」檔案,請改用 .1)
這會完成在 OneFS 8.1 及更舊版本上新增憑證。
OneFS 8.2 及更新版本:
由於 cacert 目錄不存在,因此下載作業應在另一個有效目錄中執行,例如 /ifs/data/Isilon_Support。
叢集端下載 .pem 檔案:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
使用者下載 .pem 檔案:
從 Amazon 官方憑證網站擷取適當的自我簽署 PEM 憑證:
https://www.amazontrust.com/repository/
使用用戶端,下載下列檔案:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
將這些檔案移到叢集上。
提供 OneFS 的憑證:
以叢集命令列上的根使用者身分 (在 .pem 檔案的移動目的地目錄中啟動) 遵循下列步驟 (以 .pem 檔案名稱取代 ):
- 將憑證移至適當的目錄:
# cp /ifs/data/Isilon_Support/
- 移至該目錄:
# cd /ifs/data/Isilon_Support/
若要將憑證匯入我們的憑證管理系統:
# isi certificate authority import --certificate-path= --description=”” --name=
若要自動執行此操作:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
驗證匯入成功:
# isi 認證機構清單
輸出應顯示新增的憑證名稱。
關於使用 RUP 修正:
將 AWS S3 憑證更新至 Amazon Trust Services (8.2.2)。
https://jira.cec.lab.emc.com/browse/PSCALE-58298
修補程式:[8.2.2_GA-RUP_2021-07][Multiple Userspace and Kernel Fixes](July 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
除了套用 RUP 之外,還必須執行下列命令,才能完成目標 Amazon 憑證的匯入程序:
# python -m isi.certs.provision
------------------
- 僅套用修補程式並不會完成匯入程序。
i8220s-1# isi upgrade patches list
修補程式名稱 說明 狀態
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 多個使用者空間和核心修正 已安裝
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- 必須執行以下 python 命令,才能完成目標 Amazon 憑證的匯入。
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.