Isilon CloudPools. Amazon AWS меняет поставщиков сертификатов, что влияет на доступ к CloudPools
Sammanfattning: Компания Amazon изменяет сертификат источника сертификатов для своих веб-служб, что влияет на доступ к CloudPools.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Изменение поставщика сертификатов Amazon влияет на доступ к CloudPools.
Orsak
Компания Amazon изменяет сертификат источника сертификатов для своих веб-служб, что влияет на доступ к CloudPools.
Подробные сведения об изменении сертификата Amazon см. по следующей ссылке:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS содержит предварительно установленные сертификаты, которые обеспечивают простое подключение к поддерживаемым общедоступным поставщикам хранилищ CloudPools. Dell работает над исправлением, добавляющим этот новый сертификат для будущей конфигурации CloudPools, но для сохранения возможности подключения CloudPools у существующих заказчиков, использующих CloudPools для архивирования на Amazon AWS, требуется изменение, указанное в разделе «Решение».
Подробные сведения об изменении сертификата Amazon см. по следующей ссылке:
https://aws.amazon.com/blogs/networking-and-content-delivery/reminder-amazon-s3-and-amazon-cloudfront-service-certificates-migrating-to-amazon-trust-services-starting-march-23-2021/
OneFS содержит предварительно установленные сертификаты, которые обеспечивают простое подключение к поддерживаемым общедоступным поставщикам хранилищ CloudPools. Dell работает над исправлением, добавляющим этот новый сертификат для будущей конфигурации CloudPools, но для сохранения возможности подключения CloudPools у существующих заказчиков, использующих CloudPools для архивирования на Amazon AWS, требуется изменение, указанное в разделе «Решение».
Upplösning
OneFS 8.1 и более ранние версии.
Кластерное скачивание файлов .pem.
# cd /ifs/.ifsvar/modules/cloud/cacert # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Скачивание файлов .pem пользователем.
Получите соответствующий самозаверяющий сертификат PEM на официальном сайте сертификатов Amazon:
https://www.amazontrust.com/repository/
Используя клиент, скачайте следующие файлы:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Переместите эти файлы в кластер.
Предоставление доступа к сертификатам в OneFS.
В качестве пользователя root в командной строке кластера, начиная с каталога, куда перемещены файлы .pem, выполните следующие действия (замените именем файла .pem):
- Переместите сертификаты в соответствующий каталог:
# cp /ifs/.ifsvar/modules/cloud/cacert
- Переместите в каталог certs:
# cd /ifs/.ifsvar/modules/cloud/cacert
- Выполните следующие действия для каждого из пяти скачанных файлов .pem. Получите хэш для сертификата:
# openssl x509 -hash -noout -in
- Создайте символическую ссылку на с помощью вывода из выше:
# ln -s /ifs/.ifsvar/modules/cloud/cacert/ /ifs/.ifsvar/modules/cloud/cacert/.0
(Если существует файл «.0», используйте вместо него .1)
На этом добавление сертификата в OneFS 8.1 и более ранние версии завершено.
Для OneFS 8.2 и более поздних версий.
Так как каталог cacert не существует, следует скачивать файлы в другой каталог, например /ifs/data/Isilon_Support.
Скачивание файлов .pem на стороне кластера.
# cd /ifs/data/Isilon_Support/ # curl -k https://www.amazontrust.com/repository/AmazonRootCA1.pem > AmazonRootCA1.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA2.pem > AmazonRootCA2.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA3.pem > AmazonRootCA3.pem; curl -k https://www.amazontrust.com/repository/AmazonRootCA4.pem > AmazonRootCA4.pem; curl -k https://www.amazontrust.com/repository/SFSRootCAG2.pem > SFSRootCAG2.pem
Скачивание файлов .pem пользователем.
Получите соответствующие самозаверяющие сертификаты PEM на официальном сайте сертификатов Amazon:
https://www.amazontrust.com/repository/
Используя клиент, скачайте следующие файлы:
- https://www.amazontrust.com/repository/AmazonRootCA1.pem
- https://www.amazontrust.com/repository/AmazonRootCA2.pem
- https://www.amazontrust.com/repository/AmazonRootCA3.pem
- https://www.amazontrust.com/repository/AmazonRootCA4.pem
- https://www.amazontrust.com/repository/SFSRootCAG2.pem
Переместите эти файлы в кластер.
Предоставление доступа к сертификатам в OneFS.
В качестве пользователя root в командной строке кластера, начиная с каталога, куда перемещены файлы .pem, выполните следующие действия (замените именем файла .pem):
- Переместите сертификат в соответствующий каталог:
# cp /ifs/data/Isilon_Support/
- Переместите в этот каталог:
# cd /ifs/data/Isilon_Support/
Чтобы импортировать сертификат в нашу систему управления сертификатами, выполните следующие действия.
# isi certificate authority import --certificate-path= --description=”” --name=
Для автоматического выполнения этого действия, введите следующую команду.
# isi certificate authority import --certificate-path=AmazonRootCA1.pem --description="Amazon CA1" --name=amazon_cert1; isi certificate authority import --certificate-path=AmazonRootCA2.pem --description="Amazon CA2" --name=amazon_cert2; isi certificate authority import --certificate-path=AmazonRootCA3.pem --description="Amazon CA3" --name=amazon_cert3; isi certificate authority import --certificate-path=AmazonRootCA4.pem --description="Amazon CA4" --name=amazon_cert4; isi certificate authority import --certificate-path=SFSRootCAG2.pem --description="Starfield Services Root CA" --name=Starfield_cert
Проверка успешного импорта.
# isi certificate authority list
В выходных данных должны отображаться только что добавленные имена сертификатов.
Примечание об исправлении с помощью RUP.
Обновите сертификат AWS S3 до Amazon Trust Services (8.2.2).
https://jira.cec.lab.emc.com/browse/PSCALE-58298
ИСПРАВЛЕНИЕ. [8.2.2_GA-RUP_2021-07][Несколько исправлений пользовательского пространства и ядра](июль 2021 г.)
https://jira.cec.lab.emc.com/browse/PSP-1250
Для завершения процесса импорта целевых сертификатов Amazon в дополнение к применению RUP необходимо выполнить следующую команду.
# python -m isi.certs.provision
------------------
- Применение только исправления не завершает процесс импорта.
i8220s-1# isi upgrade patches list
Patch Name Description Status
---------------------------------------------------------------------------
8.2.2_GA-RUP_2021-07_PSP-1250 Multiple Userspace and Kernel Fixes Installed
---------------------------------------------------------------------------
i8220s-1# isi certificate authority list | grep Amazon
i8220s-1#
- Для завершения импорта целевых сертификатов Amazon необходимо выполнить следующую команду Python.
i8220s-1# python -m isi.certs.provision
i8220s-1#
i8220s-1# isi certificate authority list | grep Amazon
18ce6cf AmazonTrustServices_Root_CA3 valid 2040-05-26T09:00:00
1ba5b2a AmazonTrustServices_Root_CA2 valid 2040-05-26T09:00:00
8ecde68 AmazonTrustServices_Root_CA1 valid 2038-01-17T09:00:00
e35d284 AmazonTrustServices_Root_CA4 valid 2040-05-26T09:00:00
Berörda produkter
Isilon SmartPoolsArtikelegenskaper
Artikelnummer: 000184391
Artikeltyp: Solution
Senast ändrad: 12 jan. 2023
Version: 8
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.