CloudPools account maken mislukt, of CloudPools account is onbereikbaar met bericht: clapi error: CL_SSL_CACERT

Als u probeert een CloudPools account te maken, krijgt u de volgende foutmelding: 
Dezelfde fout wordt ook weergegeven na een upgrade naar OneFS 8.2 bij het weergeven van bestaande CloudPools-accounts.

Het maken van een CloudPools-account mislukt met deze fout als de basiscertificaten niet correct zijn geïnstalleerd. Hetzelfde geldt voor tussentijdse zelfondertekende certificaten.

Als er een upgrade naar OneFs v8.2 is, gebeurt dit omdat een statische lijst met certificaten naar het nieuwe archief wordt gemigreerd. Dit archief bevat geen certificaten die zijn geïnstalleerd (zoals het ECS-certificaat) op het systeem voor CloudPools en die geen deel uitmaken van deze lijst.

Volg de onderstaande stappen om het probleem op te lossen.

1. Voer de volgende opdracht uit om een lijst met certificaten van de CloudPools-server in een tekstbestand te dumpen: openssl s_client -connect <cloudpool_server>:443 -showcerts -certform PEM > cert.txt
2. Vanaf cert.txt staan de benodigde certificaatonderdelen tussen de regels die beginnen met -----BEGINCERTIFICAAT----- EN -----EINDCERTIFICAAT-----
3. Kopieer het laatste certificaat, zoals het moet het ROOT CA-certificaat van de ondertekenende autoriteit zijn. Kopieer en plak alles van -----BEGIN CERTIFICATE----- tot -----END CERTIFICATE----- in een nieuw bestand met de naam /ifs/.ifsvar/modules/cloud/cacert/<some_cloudpools_root_cert.pem>.
4. Wijzig de directory in de locatie van het certificaat, cd /ifs/.ifsvar/modules/cloud/cacert.
5. Bereken de hash van het certificaatbestand met de opdracht: openssl x509 -hash -noout -in <some_cloudpools_root_cert.pem>
6. Maak een symbolische koppeling naar het certificaat met behulp van de uitvoer van de hash-waardeopdracht: ln -s <some_cloudpools_root_cert.pem>< hash_value.suffix>

7. Doorloop het CloudPools account en maak het proces opnieuw.

Als versie OneFs 8.2 of hoger is, gaat u zo nodig verder met de volgende stappen:

8. Voer de certificaatimportopdracht uit wanneer u op pad bent "/ifs/.ifsvar/modules/cloud/cacert".

9. Zoek de ecs_cert die aan de lijst met autoriteiten is toegevoegd met de opdracht: #isi lijst met certificeringsinstanties
10. Start isi_cpool_d service opnieuw met de opdracht: # isi services -a isi_cpool_d disable

11. Controleer of het cloudaccount bereikbaar is en of de status met de opdracht OK is: # isi cloud accounts view <account-name>

Als de beheerder SSL-certificaatvalidatie inschakelt bij het maken van een account of deze optie wijzigt van 'overslaan' naar 'niet overslaan', moeten de servers correct geïnstalleerde basiscertificeringen hebben. Anders kan CloudPools geen verbinding maken met cloudproviders en wordt er een SSL_CACERT_ERROR gegenereerd.

Wanneer een account is geconfigureerd om SSL-certificaatvalidatie uit te voeren, wordt validatie uitgevoerd wanneer CloudPools verbinding maakt met de cloudprovider van dat account en de validatie mogelijk mislukt. Wanneer dat gebeurt, wordt een clustergebeurtenislogboekgebeurtenis, zoals 1100000009 CPOOL_CERTIFICATE_ERROR, gemaakt.

Als de storageserviceprovider een zelfondertekend certificaat heeft geïnstalleerd, zou het ook in de certificaatketen moeten worden weergegeven wanneer u verbinding maakt met de server. Zoek het zelfondertekende certificaat, want dit is het basiscertificaat waarmee de server wordt geverifieerd.

Alleen basiscertificaten hoeven vooraf te worden geïnstalleerd op het CloudPools-cluster. Als de site een SSL-proxyserver implementeert, kan het nodig zijn om ook de tussenliggende certificaten te downloaden en te installeren. 

Als de kopie van het basiscertificaat een andere indeling heeft dan de PEM-gecodeerde indeling, gebruikt u de OpenSSL-opdrachten om PEM-conversie uit te voeren voordat u het installeert.