Створення облікового запису CloudPools не вдалося, або обліковий запис CloudPools недоступний через помилку повідомлення: clapi: CL_SSL_CACERT

Summary: Створення облікового запису CloudPools не вдалося через помилку сертифікації.

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.
Consultați alte resurse

Symptoms

Спроба створити обліковий запис CloudPools викликає таку помилку:

Account Create Failed. The CloudPools account did not create due to the following error: Account validation failed to connect to remote server: clapi error: CL_SSL_CACERT; Peer certificate cannot be authenticated with known CA certificates.

Та сама помилка також з'являється після оновлення до OneFS 8.2 при перегляді існуючих облікових записів CloudPools.

 

Cause

Створення облікового запису CloudPools не працює через цю помилку, якщо кореневі сертифікати встановлені неправильно. Те саме стосується проміжних самопідписаних сертифікатів

Якщо відбувається оновлення до OneFs v8.2, це відбувається при міграції статичного списку сертифікатів у новий магазин. Це сховище не містить сертифікатів, які були встановлені (наприклад, сертифікат ECS) у системі для CloudPools, і не входять до цього списку.

 

Resolution

Дотримуйтесь кроків нижче, щоб вирішити проблему.

  1. Виконайте таку команду, щоб скинути список сертифікатів із сервера CloudPools у текстовий файл:

    openssl s_client -connect <cloudpool_server>:443 -showcerts -certform PEM > cert.txt

  2. Від cert.txt потрібні компоненти сертифікатів розташовані між рядками, що починаються з:
    -----BEGIN CERTIFICATE----- AND -----END CERTIFICATE-----

  3. Скопіюйте останній сертифікат, оскільки це має бути ROOT CA сертифікат від підписувального органу. Скопіюйте та вставте все — від -----BEGIN CERTIFICATE----- до -----END CERTIFICATE----- у новий файл під назвою /ifs/.ifsvar/modules/cloud/cacert/<some_cloudpools_root_cert.pem>.

  4. Змініть каталог на місце розташування сертифіката.

    cd /ifs/.ifsvar/modules/cloud/cacert

  5. Обчисліть хеш файлу сертифіката за допомогою команди:

    openssl x509 -hash -noout -in <some_cloudpools_root_cert>.pem

  6. Створіть символічне посилання на сертифікат, використовуючи команду хеш-значення:

    ln -s <some_cloudpools_root_cert>.pem <hash_value>.suffix
    Примітка:<суфікс> починається з 0. Якщо існує зіткнення існуючих імен файлу symlink, використовуйте наступне число як суфікс.

  7. Пройдіть через обліковий запис CloudPools і створіть процес знову.

    Якщо версія OneFs 8.2 і новіша, продовжуйте наступні кроки за потреби:

  8. Запустіть команду імпорту сертифікатів, коли ви стоїте на шляху "/ifs/.ifsvar/modules/cloud/cacert."

    Приклад:

    # ls -lh 94d536c0.0
lrwxr-xr-x     1 root  wheel    39B Jun  3 10:35 94d536c0.0 -> cert_cloud account.pem
# isi certificate authority import --certificate-path=cert_account-URI.pem --description="ECS CA" --name=ecs_cert

  9. Знайдіть ecs_cert , доданий до списку авторитетів за командою:

    #isi certificate authority list

  10. Перезапустіть isi_cpool_d сервіс з командою:

    # isi services -a isi_cpool_d disable

    Зачекайте 30 секунд, потім виконайте команду:

    # isi services -a isi_cpool_d enable

  11. Переконайтеся, що Cloud Account доступний і що цей стан підходить за допомогою команди:

    # isi cloud accounts view <account-name>

 

Additional Information

Якщо адміністратор увімкнено перевірку SSL-сертифікатів при створенні облікового запису або зміні цієї опції з «пропустити» на «не пропустити», сервери повинні мати коректно встановлені кореневі сертифікати. Інакше CloudPools не підключаються до хмарних провайдерів, і створюється SSL_CACERT_ERROR.

Коли обліковий запис налаштований для перевірки SSL-сертифікатів, перевірка виконується щоразу, коли CloudPools підключається до хмарного провайдера цього акаунта, і валідація може не вдатися. Коли це відбувається, створюється подія журналу подій кластера, подібна до 1100000009 CPOOL_CERTIFICATE_ERROR.

Якщо провайдер сховища встановив самопідписаний сертифікат, він також має відображатися в ланцюжку сертифікатів при підключенні до сервера. Знайдіть самопідписаний сертифікат, оскільки це кореневий сертифікат для автентифікації сервера.

Лише кореневі сертифікати мають бути попередньо встановлені на кластер CloudPools. Якщо сайт розгортає SSL-проксі-сервер, може знадобитися отримати та встановити проміжні сертифікати.

Якщо копія кореневого сертифіката знаходиться у форматі, відмінному від PEM-закодованого формату, використовуйте команди OpenSSL для конвертації PEM перед встановленням.

 

Produse afectate

Isilon
Proprietăți articol
Article Number: 000065641
Article Type: Solution
Ultima modificare: 15 ian. 2026
Version:  5
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell
Servicii de asistență
Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.