Isilon CloudPools:Amazon AWS 正在更改证书提供商,这会影响 CloudPools 访问
Summary: Amazon 正在更改其 Web 服务的证书颁发机构,这会影响 CloudPools 访问。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Amazon 证书提供商更改会影响 CloudPools 访问。
Cause
Amazon 正在更改其 Web 服务的证书颁发机构,这会影响 CloudPools 访问。
有关 Amazon 证书更改的详细信息,请参阅以下链接:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS 使用预安装的证书构建,以便轻松连接到我们支持的公共 CloudPools 存储提供商。戴尔正在开发一个修补程序,该修补程序可为未来的 CloudPools 配置添加此新证书,但对于使用归档到 Amazon AWS 的 CloudPools 的现有客户,需要进行“解决方案”部分中显示的更改才能继续使用 CloudPools 连接。
有关 Amazon 证书更改的详细信息,请参阅以下链接:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS 使用预安装的证书构建,以便轻松连接到我们支持的公共 CloudPools 存储提供商。戴尔正在开发一个修补程序,该修补程序可为未来的 CloudPools 配置添加此新证书,但对于使用归档到 Amazon AWS 的 CloudPools 的现有客户,需要进行“解决方案”部分中显示的更改才能继续使用 CloudPools 连接。
Resolution
OneFS 8.1 及更低版本:
.pem 文件的群集下载:
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
.pem 文件的用户下载:
从 Amazon 的官方证书站点检索相应的自签名 PEM 证书:
https://www.amazontrust.com/repository/
使用客户端下载以下文件:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
将这些文件移动到群集。
使证书可供 OneFS 使用:
以群集上命令行的根用户身份,从 .pem 文件移动到的目录开始,执行以下步骤(将 替换为 .pem 文件名):
- 将证书移动到相应的目录:
# cp /ifs/.ifsvar/modules/cloud/cacert
- 进入 certs 目录:
# cd /ifs/.ifsvar/modules/cloud/cacert
- 对下载的五个 .pem 文件执行此过程。获取证书的哈希:
# openssl x509 -hash -noout -in
- 使用上面 的输出创建到 的符号链接:
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(如果存在文件“.0”,请改为使用 .1)
这将完成在 OneFS 8.1 和更低版本上添加证书。
对于 OneFS 8.2 和更高版本:
由于 cacert 目录不存在,因此应在另一个可用的目录(如 /ifs/data/Isilon_Support)中执行下载。
.pem 文件的群集端下载:
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
.pem 文件的用户下载:
从 Amazon 的官方证书站点检索相应的自签名 PEM 证书:
https://www.amazontrust.com/repository/
使用客户端下载以下文件:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
将这些文件移动到群集。
使证书可供 OneFS 使用:
以群集上命令行的根用户身份,从 .pem 文件移动到的目录开始,执行以下步骤(将 替换为 .pem 文件名):
- 将证书移动到相应的目录:
# cp /ifs/data/Isilon_Support/
- 进入该目录:
# cd /ifs/data/Isilon_Support/
要将证书导入我们的证书管理系统,请使用以下命令:
# isi certificate authority import --certificate-path= --description=”” --name=
要自动执行此操作,请使用以下命令:
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
验证导入成功:
# isi certificate authority list
输出应显示新添加的证书名称。
关于使用 RUP 的修复:
将 AWS S3 证书更新到 Amazon Trust Services (8.2.2)。
https://jira.cec.lab.emc.com/browse/PSCALE-58298
补丁:[8.2.2_GA-RUP_2021-07][多个用户空间和内核修复](2021 年 7 月)
ttps://jira.cec.lab.emc.com/browse/PSP-1250
除了应用 RUP 之外,还必须运行以下命令才能完成目标 Amazon 证书的导入过程:
# python -m isi.certs.provision
------------------
- 仅应用修补程序无法完成导入过程。
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- 必须运行以下 Python 命令才能完成目标 Amazon 证书的导入。
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Affected Products
Isilon SmartPoolsArticle Properties
Article Number: 000184391
Article Type: Solution
Last Modified: 12 Jan 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.