Истечение срока действия сертификата и решение Dell Networking OS10

Определенные версии OS10 (см. раздел Затронутые выпуски программного обеспечения) содержат сертификат по умолчанию, который используется для однорангового развертывания VLT и формирования кластера SFS. Срок действия этого сертификата по умолчанию — 27 июля 2021 г. После истечения срока действия проблемы с доступностью трафика возникают, когда на одном из этих коммутаторов происходит последующая перезагрузка коммутатора, клапан канала, изменение конфигурации, инициированное оператором, vMotion и другие сетевые события. Истечение срока действия сертификата не содержит соответствующих сообщений в системных журналах, ловушках или пользовательском интерфейсе.

Затронутые версии программного обеспечения по модели:
 

Версия OS10	Модель
10.3.2ER3P1	Только S5148F
10.4.0E. R3SP2 до 10.4.0E. R4SP2	Только MX9116 и MX5108
10.4.1.4–10.4.3.6P5	Все модели OS10 (включая MX9116, MX5108 и S5148F)
10.5.0.0–10.5.0.7P3	Все модели OS10 (включая MX9116 и MX5108)

Решение

ПРИМЕЧАНИЕ. См. прилагаемое техническое описание для получения версии этого решения в формате PDF, которую можно предоставить инженеру, который будет выполнять модернизацию.

ПРИМЕЧАНИЕ: Пользователям внутренней сети Ethernet Isilon не следует выполнять процедуры, описанные в этой статье. Для Пользователей Isilon см. статью базы знаний 185548: Для получения подробной информации об этой проблеме истекает срок действия сертификата коммутатора Dell на коммутаторах Dell Z9100-ON, используемых для внутренней сети Ethernet Isilon. Для данной статьи требуется вход заказчика.

ПРИМЕЧАНИЕ:  Пользователи устройств ECS 3-го поколения не должны выполнять процедуры, описанные в этой статье. Для ECS пользователи видят статью базы знаний 185691: DTA 185691: ECS. Истечение срока действия сертификата безопасности коммутатора Dell OS10 X.509v3 на внешних и серверных коммутаторах ECS может привести к недоступности данных для получения подробных сведений о проблеме. Для данной статьи требуется вход заказчика.

ПРИМЕЧАНИЕ: Пользователи затронутых версий с 10.3.2.x по 10.4.2.x, обновление сертификата недоступно. Пользователи должны выполнить модернизацию до версии 10.4.3.0 или более поздней (10.5.0.x или более поздней для MX) и следовать приведенной ниже таблице.   

ПРИМЕЧАНИЕ.  Для пользователей PowerEdge MX в версиях 10.4.0E (R3SP2) — 10.4.0E (R4SP2) если обновление до последней базовой версии невозможно к 27 июля 2021 г., обратитесь в службу технической поддержки Dell за помощью в обновлении сертификата по умолчанию.

ПРИМЕЧАНИЕ: Следующие версии OS10 поставляются с новым сертификатом по умолчанию, который устранен проблему истечения срока действия сертификата:
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

ОПОВЕЩЕНИЕ: Пользователям, которые выбрали обновление до последней версии микропрограммы , НЕОБХОДИМО следовать пути модернизации, указанным в разделе Подготовка к модернизации руководства по установке, обновлению и понижению версии Dell EMC SmartFabric OS10 на нашем сайте поддержки.

Для версий 10.4.3.0–10.5.0.7P3 пользователи должны следовать решению в соответствии с этой таблицей, чтобы предотвратить проблемы с сетью из-за истечения срока действия сертификата по умолчанию:       
 

Категория развертывания	Рекомендуемое решение	Кроме того, если модернизация возможна.
Коммутаторы без MX в режиме без VLT без SFS	Никаких действий не требуется.	Никаких действий не требуется.
MX- ДескрипторMODE SFS	Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах. Чтобы новый сертификат по умолчанию вступил в силу, необходимо выполнить следующие действия: - Перезагрузите основной сервер SFS . Кроме того, в многокластерном развертывании перезагрузите один из одноранговых узлов VLT в каждой паре VLT.	Модернизация до >=10.5.1.7 до 27 июля 2021 г. Следуйте инструкциям по модернизации, приведенным в dell EMC OpenManage Enterprise-Modular Edition для корпуса PowerEdge MX7000. Базовые показатели решенияMX7000 на стр. 15-17 содержит базовые показатели микропрограмм совместимых компонентов. Таблица обновления микропрограмм OS10 — на стр. 22 подробно описан путь модернизации коммутаторов OS10.
Режим полного коммутатора MX
Коммутаторы в режиме VLT без SFS	Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах. Чтобы новый сертификат по умолчанию вступил в силу, необходимо выполнить команду «shut» и «no shut» на интерфейсе/канале VLTi основного коммутатора VLT.	Обновление до версии >=10.5.1.0 до 27 июля 2021 г.
VxRail-SFS — одна стойка	Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах. Чтобы новый сертификат по умолчанию вступил в силу, он ЯВЛЯЕТСЯ ОБЯЗАТЕЛЬНОЙ: - Перезагрузите основной сервер SFS . Кроме того, в многокластерном развертывании перезагрузите один из одноранговых узлов VLT в каждой паре VLT.	Обновление до версии >=10.5.2.2 до 27 июля2021 г.
VxRail-SFS — несколько стоек
S5148	Выполните модернизацию до версии 10.4.3.x, а затем обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах. Обновите сертификат по умолчанию до нового сертификата по умолчанию с помощью скриптов, предоставленных Dell на всех узлах. Чтобы новый сертификат по умолчанию вступил в силу, необходимо выполнить команду «shut» и «no shut» на интерфейсе/канале VLTi основного коммутатора VLT.	То же, что и рекомендуемое решение.

ПРИМЕЧАНИЕ. Для клапана канала VLTi или перезагрузки коммутатора требуется окно обслуживания, так как это может привести к прерываниям потока сетевого трафика. При расчете окна обслуживания:       

• Для сценария поведите время от 3 до 5 минут на устройство. Пока сценарий выполняется, это не влияет на трафик.
• Для модернизации OS10 следует использовать 30 минут на узел при переходе от одного выпуска к следующему.

Пакет сценариев «Обновление сертификатов Dell Networking по умолчанию X.509» доступен в Dell Digital Locker с вашей лицензией OS10. Имя файла пакета сценариев —cert_upgrade_script, и он содержит файл README с подробными инструкциями по запуску сценариев. Нажмите на переключатель в своей учетной записи DDL, затем перейдите к доступным загрузкам, чтобы просмотреть пакет сценариев.

Дополнительные сведения о входе в систему и загрузке сценария см. в статье Dell Networking Как загрузить OS10 Cert_Upgrade_Script из Dell Digital Locker

Дополнительные пошаговые инструкции по завершению обновления сертификата см. в следующих статьях:



Выберите одинDell Networking OS10Как запустить обновление сертификата из Linux

Dell Networking OS10 Как запустить обновление сертификата непосредственно с коммутатора OS10

Dell Networking OS10 Какзапустить обновление сертификата из Windows с Python

Здесь показан процесс обновления сертификата с помощью сценария Python.

ПРИМЕЧАНИЕ. В зависимости от того, где сохранен файл сценария, у вас может быть другой путь к файлу, а именно то, что используется в этом видео.





ОСТОРОЖНОСТЬЮ: Все коммутаторы в кластере или VLT должны иметь один и тот же сертификат, который установлен, для связи между кластером или VLT. Во время одного и того же окна обслуживания необходимо запустить сценарий на всех узлах кластера и VLT.

После обновления сертификата по умолчанию на коммутаторах обратите внимание на следующее:      

• Если понизить версию программного обеспечения со старым сертификатом по умолчанию, проблема может снова возникнуть.
• При загрузке в другом разделе, в котором по-прежнему имеется старый сертификат по умолчанию, может снова возникнуть проблема.
• При замене коммутатора на версию, использующей старый сертификат по умолчанию, снова может возникнуть проблема.

При возникновении любого из этих сценариев необходимо выполнить следующие действия:     

•   Используйте сценарий для повторного обновления сертификата по умолчанию.

ОПОВЕЩЕНИЕ: Сертификат не используется, если все системы в кластере используют версию 10.5.1.0 или более позднюю. Если кластер работает со смешанными версиями OS10 с некоторыми узлами под управлением версии 10.5.0.x и ниже. Затем в системах под управлением версии 10.5.1.x или более поздней версии должен быть запущен скрипт для установки нового сертификата узлов для формирования кластера.

На некоторых новых коммутаторах, поставляемые с версиями 10.4.3 или 10.5.0, уже установлен новый сертификат по умолчанию. Кроме того, на некоторых коммутаторах замены служб установлен новый сертификат по умолчанию. Эти устройства идентифицированы по наклейке на устройстве с сообщением «Cert Updated».

Использование такого коммутатора в кластере VLT или SFS  

• На всех коммутаторах кластера должен быть установлен новый сертификат по умолчанию.