特定バージョンのOS10(「対象ソフトウェア リリース」を参照)には、VLTピアの確立およびSFSクラスターの形成に使用されるデフォルト証明書が含まれています。
このデフォルト証明書は、2021年7月27日に有効期限が切れます。有効期限が切れた後、これらのスイッチのいずれかにスイッチの再起動、リンク フラップ、オペレーター始動の構成変更、vMotion、その他のネットワーク イベントが発生すると、トラフィックの到達可能性に問題が発生します。証明書の有効期限には、syslog、トラップ、またはユーザー インターフェイスに対応するメッセージがありません。
影響を受けるソフトウェア リリース(モデル別):
OS10バージョン |
モデル |
10.3.2ER3P1 |
S5148Fのみ |
10.4.0E。R3SP2~10.4.0E。R4SP2 |
MX9116およびMX5108のみ |
10.4.1.4~10.4.3.6P5 |
すべてのOS10モデル(MX9116、MX5108、S5148Fを含む) |
10.5.0.0~10.5.0.7P3 |
すべてのOS10モデル(MX9116およびMX5108を含む) |
対処方法
メモ: アップグレードを実行するエンジニアに提供できるこの解決策のPDFバージョンについては、添付のテクニカル シートを参照してください。
メモ:IsilonバックエンドEthernetユーザーは、この記事で説明される手順に従う必要はありません。Isilonの場合、問題の詳細については、KB記事185548:「
IsilonバックエンドEthernetに使用されているDell Z9100-ONスイッチにおけるDellスイッチ証明書の有効期限切れ(英語)」を参照してください。この記事には、お客様によるログインが必要です。
メモ: ECS Gen3アプライアンスのユーザーは、この記事で説明される手順に従う必要はありません。ECSの場合、問題の詳細については、KB記事185691:
「DTA 185691:「ECS:ECSフロントエンドおよびバックエンド スイッチのDell OS10スイッチX.509v3セキュリティ証明書の有効期限切れによりデータ欠損が発生することがある(英語)」を参照してください。この記事には、お客様によるログインが必要です。
メモ:10.3.2.xから10.4.2.xまでの影響を受けるバージョンのユーザーは、証明書の更新を利用できません。ユーザーは、10.4.3.0以降(MXの場合は10.5.0.x以降)にアップグレードする必要があり、次の表に従う必要があります。
メモ: 10.4.0E(R3SP2)- 10.4.0E(R4SP2)のPowerEdge MXユーザーの場合、2021年7月27日までに最新のベースラインにアップグレードできない場合は、Dellテクニカル サポートに連絡して、デフォルトの証明書のアップデートについてサポートを受けてください。
メモ:次のOS10リリース バージョンには、この証明書の有効期限の問題に対処する新しいデフォルト証明書が付属しています。
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6
アラート: 最新のファームウェアへのアップグレードを選択するユーザーは、サポート サイトにある
『 Dell EMC SmartFabric OS10インストール、アップグレード、およびダウングレード ガイド 』の「
アップグレードの準備 」セクションに記載されているアップグレード パスに従う
必要があります。
リリース
10.4.3.0~10.5.0.7P3の場合、デフォルトの証明書の有効期限によるネットワークの問題を回避するには、次の表に従って解決策を実行する必要があります。
導入カテゴリー |
推奨する解決策 |
または、アップグレードが可能な場合の処置 |
非VLT非SFSモードの非MXスイッチ |
処置は必要ありません。 |
処置は必要ありません。 |
Mx-SFS mode |
すべてのノードでDellにより提供されたスクリプトを使用して、デフォルト証明書を新しいデフォルト証明書にアップデートします。 新しいデフォルト証明書を有効にするには、次の操作を行う必要があります。 - SFSプライマリー の再起動 - また、マルチクラスター導入では、すべてのVLTペアのVLTピアのいずれかを再起動します。 |
2021年7月27日より前に>=10.5.1.7
にアップグレード します。 Dell EMC OpenManage Enterprise-Modular Edition for PowerEdge MX7000 Chassis User's Guide
MX7000 Solution Baselines - Page 15-17 に、互換性のあるコンポーネントファームウェアベースラインが記載されています。 OS10ファームウェア アップデート マトリックス - 22ページには、OS10スイッチのアップグレード パスの詳細が記載されています。 |
MX-Full-Switchモード |
VLT非SFSモードのスイッチ |
すべてのノードでDellにより提供されたスクリプトを使用して、デフォルト証明書を新しいデフォルト証明書にアップデートします。 新しいデフォルト証明書を有効にするには、VLTプライマリ スイッチのVLTiインターフェイス/リンクで「シャットダウン」および「no shut」を実行する必要があります。 |
2021年7月27日より前に、バージョン10.5.1.0以降にアップグレードします。 |
VxRail-SFS-シングル ラック |
すべてのノードでDellにより提供されたスクリプトを使用して、デフォルト証明書を新しいデフォルト証明書にアップデートします。 新しいデフォルト証明書を有効にするには、次の操作を行う必要があります。 - SFSプライマリー の再起動 - また、マルチクラスター導入では、すべてのVLTペアのVLTピアのいずれかを再起動します。 |
2021年7月27日より前に、バージョン10.5.2.2以降にアップグレードします。 |
VxRail-SFS-マルチ ラック |
S5148 |
10.4.3.xにアップグレードしてから、すべてのノードでDellにより提供されたスクリプトを使用して、デフォルト証明書を新しいデフォルト証明書にアップグレードします。 すべてのノードでDellにより提供されたスクリプトを使用して、デフォルト証明書を新しいデフォルト証明書にアップデートします。 新しいデフォルト証明書を有効にするには、VLTプライマリ スイッチのVLTiインターフェイス/リンクで「シャットダウン」および「no shut」を実行する必要があります。 |
推奨する解決策と同じです。 |
メモ: VLTiリンク フラップまたはスイッチの再起動にはメンテナンス ウィンドウが必要です。ネットワーク トラフィック フローが中断する可能性があるためです。メンテナンス期間を計算する際に、次の点を考慮します。
- スクリプトには、デバイスごとに3~5分間かかります。スクリプトが実行されている間、トラフィックには影響しません。
- OS10をアップグレードする場合は、1つのリリースから次のリリースまで、ノードあたり30分を見積ります。
「
Dell Networking Default X.509 Certificate Update」スクリプト パッケージは、お使いのOS10の利用資格を使用して
Dell Digital Lockerから入手できます。スクリプト パッケージのファイル名は、「cert_upgrade_script」で、スクリプトを実行するための詳細な手順が記載されたREADMEファイルが含まれています。DDLアカウントでスイッチをクリックし、利用可能なダウンロードに移動して、スクリプト パッケージを表示します。
ログインしてスクリプトをダウンロードする方法の詳細については、「
Dell Networking:Dell Digital LockerからOS10 Cert_Upgrade_Scriptをダウンロードする方法(英語)」を参照してください。
証明書のアップデートを完了する方法の詳細については、次のいずれかの記事を参照してください。
「
Dell Networking OS10:Linuxから証明書のアップデートを実行する方法(英語)」
「
Dell Networking OS10:OS10スイッチから直接証明書のアップデートを実行する方法(英語)」
「
Dell Networking OS10:WindowsからPythonを使用して証明書のアップデートを実行する方法(英語)」
以下に、Pythonスクリプトを使用して証明書をアップデートするプロセスについて説明するビデオを紹介します。
メモ:スクリプト ファイルが保存されている場所に応じて、異なるファイル パスがある場合があります。このビデオでは何が使用されていますか?
注意:クラスターまたはVLT内のすべてのスイッチには、クラスターまたはVLT通信のためにインストールされているものと同じ証明書が必要です。クラスターおよびVLT内のすべてのノードで同じメンテナンス期間中にスクリプトを実行する必要があります。
スイッチでデフォルト証明書をアップデートした後、次の点に注意してください。
- 古いデフォルト証明書を持つ別のソフトウェア バージョンにダウングレードすると、問題が再発する場合があります。
- 古いデフォルト証明書を持つ別のパーティションで起動すると、問題が再発する場合があります。
- 古いデフォルト証明書を使用するバージョンのスイッチに交換すると、問題が再発する場合があります。
これらのシナリオのいずれかが発生した場合は、次の操作を行う必要があります。
- スクリプトを使用して、デフォルト証明書を再度アップデートします。
アラート:クラスター内のすべてのシステムが10.5.1.0以降を使用している場合、この証明書は使用されません。一部のノードで10.5.0.x以前を実行していて、バージョンが混在するOS10でクラスターが実行されている場合は、次の手順を実行します。10.5.1.x以降を実行しているシステムでは、スクリプトを実行して、ノードで新しい証明書をインストールし、クラスターを形成する必要があります。
10.4.3または10.5.0で出荷された新しいスイッチの一部には、新しいデフォルト証明書がすでにインストールされています。また、一部のサービス交換スイッチには、新しいデフォルト証明書がインストールされています。これらのユニットは、ユニット上の「
Cert Updated」というステッカーで確認できます。
そのようなスイッチをVLTまたはSFSクラスターで使用するには、
- クラスター内のすべてのスイッチに新しいデフォルト証明書がインストールされている必要があります。