Isilon CloudPools: Amazon AWS ändert Zertifikatsanbieter, was sich auf den CloudPools-Zugriff auswirkt

Sammanfattning: Amazon ändert die Zertifizierungsstelle für seine Webservices, was sich auf den CloudPools-Zugriff auswirkt.

Den här artikeln gäller för Den här artikeln gäller inte för Den här artikeln är inte kopplad till någon specifik produkt. Alla produktversioner identifieras inte i den här artikeln.
Kolla in andra resurser

Symptom

Die Änderung des Amazon-Zertifikatsanbieters wirkt sich auf den CloudPools-Zugriff aus.

Orsak

Amazon ändert die Zertifizierungsstelle für seine Webservices, was sich auf den CloudPools-Zugriff auswirkt.

Details zur Amazon-Zertifikatsänderung finden Sie unter dem folgenden Link:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/

OneFS wurde mit vorinstallierten Zertifikaten ausgestattet, um eine einfache Verbindung zu unseren unterstützten Public CloudPools-Storage-Anbietern zu ermöglichen. Dell arbeitet an einem Patch, der dieses neue Zertifikat für die zukünftige CloudPools-Konfiguration hinzufügt, aber für bestehende KundInnen, die die CloudPools-Archivierung in Amazon AWS verwenden, ist die im Abschnitt „Lösung“ angezeigte Änderung erforderlich, um die CloudPools-Konnektivität aufrechtzuerhalten.

Upplösning

OneFS 8.1 und früher:

Herunterladen von .pem-Dateien im Cluster:

# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem

Nutzerdownload der .pem-Dateien:
Rufen Sie das entsprechende selbstsignierte PEM-Zertifikat von der offiziellen Zertifikatswebsite von Amazon ab:
https://www.amazontrust.com/repository/

Wenn Sie einen Client verwenden, laden Sie die folgenden Dateien herunter:

Verschieben Sie diese Dateien in das Cluster.

Bereitstellen von Zertifikaten für OneFS:
Führen Sie als Root-NutzerIn in der Befehlszeile auf dem Cluster ab dem Verzeichnis, in das die .pem-Dateien verschoben wurden, die folgenden Schritte aus (ersetzen Sie durch den .pem-Dateinamen):

  1. Verschieben Sie die Zertifikate in das entsprechende Verzeichnis:

# cp /ifs/.ifsvar/modules/cloud/cacert

  1. Wechseln Sie in das Zertifikatverzeichnis:

# cd /ifs/.ifsvar/modules/cloud/cacert

  1. Befolgen Sie diesen Prozess für jede der fünf heruntergeladenen .pem-Dateien. Rufen Sie den Hash für das Zertifikat ab:

# openssl x509 -hash -noout -in

  1. Erstellen Sie einen Symlink zur mithilfe der Ausgabe von oben :

# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0

(Wenn die Datei „.0“ vorhanden ist, verwenden Sie stattdessen .1.)

Damit ist das Hinzufügen des Zertifikats auf OneFS 8.1 und früheren Versionen abgeschlossen.


Für OneFS 8.2 und höher:
Da das Cacert-Verzeichnis nicht vorhanden ist, sollten die Downloads in ein anderes, geeignetes Verzeichnis durchgeführt werden, z. B. /ifs/data/Isilon_Support, das funktioniert.

Clusterseitiger Download von .pem-Dateien:

# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem

Nutzerdownload der .pem-Dateien:
Rufen Sie die entsprechenden selbstsignierten PEM-Zertifikate von der offiziellen Zertifikatswebsite von Amazon ab:
https://www.amazontrust.com/repository/

Laden Sie mit einem Client die folgenden Dateien herunter:

Verschieben Sie diese Datei auf das Cluster.

Bereitstellen von Zertifikaten für OneFS:
Führen Sie als Root-NutzerIn in der Befehlszeile auf dem Cluster ab dem Verzeichnis, in das die .pem-Datei verschoben wurde, die folgenden Schritte aus (ersetzen Sie durch den .pem-Dateinamen):

  1. Verschieben Sie das Zertifikat in das entsprechende Verzeichnis:

# cp /ifs/data/Isilon_Support/

  1. Wechseln Sie zu diesem Verzeichnis:

# cd /ifs/data/Isilon_Support/

So importieren Sie das Zertifikat in unser Zertifikatmanagementsystem:

# isi certificate authority import --certificate-path= --description=”” --name=

Gehen Sie wie folgt vor, um dies automatisch zu tun:

# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert

Überprüfung des erfolgreichen Imports:

# isi certificate authority list

Die Ausgabe sollte die neu hinzugefügten Zertifikatnamen anzeigen.


In Bezug auf die Fehlerbehebung mithilfe von RUP:
Aktualisieren Sie das AWS S3-Zertifikat auf Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298

PATCH: [8.2.2_GA-RUP_2021-07] [Mehrere Userspace- und Kernel-Korrekturen] (Juli 2021)
ttps://jira.cec.lab.emc.com/browse/PSP-1250

Der folgende Befehl muss zusätzlich zum Anwenden von RUP ausgeführt werden, um den Importprozess der Amazon-Zielzertifikate abzuschließen:

# python -m isi.certs.provision

------------------

  1. Wenn Sie nur den Patch anwenden, wird der Importvorgang nicht abgeschlossen.

i8220s-1#  isi upgrade patches list
Patch Name                    Description                         Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------

i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#

  1. Der folgende Python-Befehl muss ausgeführt werden, damit der Import der Amazon-Zielzertifikate abgeschlossen werden kann.

i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3                      valid   2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2                      valid   2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1                      valid   2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4                      valid   2040-05-26T09:00:00

Berörda produkter

Isilon SmartPools
Artikelegenskaper
Artikelnummer: 000184391
Artikeltyp: Solution
Senast ändrad: 12 jan. 2023
Version:  8
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.