特定版本的 OS10(请参阅受影响的软件版本)包含用于 VLT 对等建立和 SFS 群集形成的默认证书。
此默认证书将于 2021 年 7 月 27 日到期。 到期后,当其中一台交换机发生后续交换机重新启动、链路摆动、操作员触发的配置更改、vMotion 和其他网络事件时,会出现流量可访问性问题。证书到期在系统日志、陷阱或用户界面上没有任何相应的消息。
受影响的软件版本,按型号:
OS10 版本
型号
10.3.2ER3P1
仅限 S5148F
10.4.0E。R3SP2 至 10.4.0E。R4SP2
仅限 MX9116 和 MX5108
10.4.1.4 至 10.4.3.6P5
所有 OS10 型号(包括 MX9116、MX5108 和 S5148F)
10.5.0.0 至 10.5.0.7P3
所有 OS10 型号(包括 MX9116 和 MX5108)
提醒: 请参阅随附的技术介绍,了解此解决方案的 PDF 版本,您可以提供给将执行升级的工程师。
注意: Isilon 后端以太网用户不应遵循本文中概述的过程。对于 Isilon,用户请参阅知识库文章185548:
用于 Isilon 后端以太网的 Dell Z9100-ON 交换机上的 Dell 交换机证书到期 ,了解有关问题的详细信息。本文需要客户登录。
注意: ECS Gen3 一体机用户不应遵循本文中概述的步骤。对于 ECS,用户请参阅知识库文章185691:
DTA 185691:ECS:ECS 前端和后端交换机上的 Dell OS10 交换机 X.509v3 安全证书到期可能会导致数据不可用 ,以了解有关该问题的详细信息。本文需要客户登录。
注意: 从 10.3.2.x 到 10.4.2.x 的受影响版本的用户,证书更新不可用。用户必须升级到 10.4.3.0 或更高版本(MX 为 10.5.0.x 或更高版本),并且必须遵循下表。
提醒: 对于 10.4.0E(R3SP2)- 10.4.0E (R4SP2) 上的 PowerEdge MX 用户,如果在 2021 年 7 月 27 日之前升级到最新基线不可行,请联系戴尔技术支持以获取更新默认证书的帮助。
注意: 以下 OS10 版本附带新的默认证书,用于解决此证书到期问题:
10.4.3.7 警报: 对于选择升级到最新固件的用户,您
必须 遵循我们支持站点上的
Dell EMC SmartFabric OS10 安装、升级和降级指南 文档的
准备升级 部分中所述的升级路径。
对于
版本 10.4.3.0 至 10.5.0.7P3 ,用户必须按照此表遵循解决方案,以防止因默认证书到期而出现网络问题:
部署类别 建议的解决方案 或者,如果可以升级的话。
非 VLT 非 SFS 模式下的非 MX 交换机 不需要进行任何操作。 不需要进行任何操作。
Mx- 点 使用戴尔在所有节点上提供的脚本,将默认证书更新为新的默认证书。 要使新的默认证书生效,必须执行以下操作: 在 2021 年 7 月 27 日之前升级到 >=10.5.1.7 适用于 PowerEdge MX7000 机箱的 Dell EMC OpenManage Enterprise-Modular Edition 用户指南 MX7000 解决方案基线 — 第 15-17 页显示兼容的组件固件基线。 OS10 固件更新值表 - 第 22 页详细介绍了 OS10 交换机的升级路径。
MX-Full-switch 模式
VLT 非 SFS 模式下的交换机 使用戴尔在所有节点上提供的脚本,将默认证书更新为新的默认证书。 升级到版本 >=10.5.1.0,2021 年 7 月 27 日之前
VxRail-SFS 单机架 使用戴尔在所有节点上提供的脚本,将默认证书更新为新的默认证书。 升级到版本 >=10.5.2.2,2021 年 7 月 27 日之前
VxRail-SFS-多机架
S5148 升级到 10.4.3.x,然后使用戴尔在所有节点上提供的脚本将默认证书更新为新的默认证书。 与建议的解决方案相同。
提醒: VLTi 链路摆动或交换机重新启动需要维护窗口,因为这些窗口可能会中断网络流量流。计算维护窗口时:
对于脚本,每个设备允许 3 到 5 分钟。在脚本运行时,流量不会受到影响。
要升级 OS10,从一个版本升级到下一个版本时,估计每个节点 30 分钟。
“Dell Networking Default X.509 Certificate Update ”脚本包在具有 OS10 权限的
Dell Digital Locker 上可用。脚本包文件名是“cert_upgrade_script”,它包括一个自述文件,其中包含有关如何运行脚本的详细说明。单击 DDL 帐户中的交换机,然后转至可用的下载以查看脚本包。
有关登录和下载脚本的更多详细信息,请参阅
Dell Networking 如何从 Dell Digital Locker
下载 OS10 Cert_Upgrade_Script 有关
如何完成证书更新的分步详细信息,请参阅以下文章 :
选择一个
Dell Networking OS10 如何从 Linux
Dell Networking OS10 运行证书更新 如何直接从 OS10 交换机
运行证书更新Dell Networking OS10 如何使用 Python
从 Windows 运行证书更新 此处 是一个视频,其中显示了使用 python 脚本更新证书的过程。
注 :根据您保存脚本文件的位置,您可能有一个不同的文件路径,以及本视频中使用的路径。
VIDEO
谨慎: 群集或 VLT 中的所有交换机必须具有已安装的相同证书,以便进行群集或 VLT 通信。在同一维护窗口期间,必须在群集中的所有节点和 VLT 上运行脚本。
更新交换机上的默认证书后,请注意以下事项:
如果您降级具有旧默认证书的另一个软件版本,则可能会再次遇到此问题。
如果您在另一个仍具有旧默认证书的分区上启动,则可能会再次遇到此问题。
如果使用旧的默认证书将交换机替换为版本,则可能会再次遇到此问题。
如果发生上述任何情况,您应该:
警报: 当群集中的所有系统都使用 10.5.1.0 或更高版本时,不会使用证书。如果群集运行的是 OS10 的混合版本,并且某些节点运行的是 10.5.0.x 及更低版本。然后,运行 10.5.1.x 或更高版本的系统必须运行 脚本以安装节点的新证书以形成群集。
一些附带 10.4.3 或 10.5.0 的新交换机已经安装了新的默认证书。此外,某些服务更换交换机还安装了新的默认证书。这些设备通过设备上显示“
Cert Updated”的不贴纸进行标识。
要在 VLT 或 SFS 群集中使用此类交换机