Échec de la création du compte CloudPools, ou le compte CloudPools est inaccessible avec le message : clapi error : CL_SSL_CACERT

La tentative de création d’un compte CloudPools génère l’erreur suivante : 
La même erreur s’affiche également après la mise à niveau vers OneFS 8.2, lors de l’affichage des comptes CloudPools existants.

La création du compte CloudPools échoue avec cette erreur si les certificats racine ne sont pas installés correctement. Il en va de même pour les certificats auto-signés intermédiaires.

S’il existe une mise à niveau vers OneFS v8.2, cela se produit lorsqu’une liste statique de certificats est migrée vers le nouveau magasin. Ce magasin n’inclut pas les certificats qui ont été installés (tels que le certificat ECS) sur le système pour CloudPools et ne font pas partie de cette liste.

Effectuez les opérations suivantes pour résoudre le problème.

1. Exécutez la commande suivante pour vider la liste des certificats du serveur CloudPools dans un fichier texte : openssl s_client -connect <cloudpool_server> :443 -showcerts -certform PEM > cert.txt
2. À partir de cert.txt, les composants de certificat nécessaires se trouvent entre les lignes qui commencent par -----BEGIN CERTIFICATE----- ET -----END CERTIFICATE-----
3. Copiez le dernier certificat, car il doit s’agir du certificat d’autorité de certification racine de l’autorité signataire. Copiez et collez tous les éléments, de -----BEGIN CERTIFICATE----- à -----END CERTIFICATE----- dans un nouveau fichier appelé /ifs/.ifsvar/modules/cloud/cacert/<some_cloudpools_root_cert.pem>.
4. Remplacez le répertoire par l’emplacement du certificat, cd /ifs/.ifsvar/modules/cloud/cacert.
5. Calculez le hachage du fichier de certificat à l’aide de la commande : openssl x509 -hash -noout -in <some_cloudpools_root_cert.pem>
6. Créez un lien symbolique vers le certificat à l’aide de la sortie de la commande de valeur de hachage : ln -s <some_cloudpools_root_cert.pem>< hash_value.suffix>

7. Accédez au compte CloudPools et créez à nouveau le processus.

Si la version est OneFS 8.2 ou une version ultérieure, passez aux étapes suivantes si nécessaire :

8. Exécutez la commande d’importation de certificat, lorsque vous vous trouvez au chemin « /ifs/.ifsvar/modules/cloud/cacert ».

9. Recherchez le ecs_cert ajouté à la liste des autorités à l’aide de la commande suivante : #isi la liste des autorités de certification
10. Redémarrez isi_cpool_d service à l’aide de la commande suivante : # isi services -a isi_cpool_d disable

11. Vérifiez que le compte Cloud est accessible et que l’état est OK avec la commande : # isi cloud accounts view <account-name>

Si l’administrateur active la validation du certificat SSL lors de la création d’un compte ou de la modification de cette option de « skip » à « not skip », les serveurs doivent avoir correctement installé les certifications root. Dans le cas contraire, CloudPools ne parvient pas à se connecter aux fournisseurs de Cloud et un SSL_CACERT_ERROR est généré.

Lorsqu’un compte est configuré pour effectuer la validation du certificat SSL, la validation est effectuée chaque fois que CloudPools se connecte au fournisseur de Cloud de ce compte et la validation peut échouer. Lorsque cela se produit, un événement de journal des événements du cluster tel que 1100000009 CPOOL_CERTIFICATE_ERROR est créé.

Si le fournisseur de services de stockage a installé un certificat auto-signé, celui-ci doit également apparaître dans la chaîne de certificats lorsque vous vous connectez au serveur. Recherchez le certificat auto-signé, car il s’agit du certificat racine pour authentifier le serveur.

Seuls les certificats racines doivent être préinstallés sur le cluster CloudPools. Si le site déploie un serveur proxy SSL, il peut également être nécessaire d’obtenir et d’installer les certificats intermédiaires. 

Si la copie du certificat racine est dans un format autre que le format codé PEM, utilisez les commandes OpenSSL pour effectuer la conversion PEM avant de l’installer.