Vypršení platnosti certifikátu a řešení pro systém Dell Networking OS10

Konkrétní verze systému OS10 (viz dotčené verze softwaru) obsahují výchozí certifikát, který se používá pro vytvoření partnera VLT a vytváření clusteru SFS. Platnost tohoto výchozího certifikátu vyprší 27. července 2021. Po skončení platnosti dojde k problémům s dostupností provozu, ke kterým dochází, když jeden z těchto přepínačů následuje restart přepínače, chlopeň linky, změny konfigurace spuštěné operátorem, prostředí vMotion a další síťové události. Vypršení platnosti certifikátu nemá žádné odpovídající zprávy v syslogu, depeších ani v uživatelském rozhraní.

Dotčené verze softwaru podle modelu:
 

Verze OS10	Model
10.3.2ER3P1	Pouze S5148F
10.4.0E. R3SP2 až 10.4.0E. R4SP2	Pouze MX9116 a MX5108
10.4.1.4 až 10.4.3.6P5	Všechny modely OS10 (včetně MX9116, MX5108 a S5148F)
10.5.0.0 až 10.5.0.7P3	Všechny modely OS10 (včetně MX9116 a MX5108)

Řešení

POZNÁMKA: V přiloženém technickém listu naleznete verzi PDF tohoto rozlišení, kterou můžete technikovi, který provede upgrade, poskytnout.

POZNÁMKA: Uživatelé backendového ethernetu Isilon by se neměli řídit postupy uvedenými v tomto článku. Uživatelé řešení Isilon naleznete v článku databáze znalostí 185548: Podrobnosti o problému najdete v vypršení platnosti certifikátu přepínače Dell u přepínačů Dell Z9100-ON používaných pro backendový ethernet Isilon. Tento článek vyžaduje přihlášení zákazníka.

POZNÁMKA:  Uživatelé zařízení ECS Gen3 by se neměli řídit postupy uvedenými v tomto článku. V případě systému ECS si uživatelé přečtěte článek databáze znalostí 185691: DTA 185691: ECS: Vypršení platnosti certifikátu zabezpečení přepínače Dell OS10 X.509v3 u přepínačů ECS Front-End a Back-End může vést k nedostupnosti dat, pokud se zobrazí podrobnosti o problému. Tento článek vyžaduje přihlášení zákazníka.

POZNÁMKA: Uživatelé dotčených verzí od 10.3.2.x do 10.4.2.x, aktualizace certifikátu není k dispozici. Uživatelé musí provést upgrade na verzi 10.4.3.0 nebo novější (10.5.0.x nebo novější pro mx) a musí postupovat podle tabulky níže.   

POZNÁMKA:  Pro uživatele serveru PowerEdge MX ve verzi 10.4.0E (R3SP2) – 10.4.0E (R4SP2) Pokud upgrade na nejnovější směrný plán není do 27. července 2021 možné, kontaktujte technickou podporu společnosti Dell a požádejte o pomoc s aktualizací výchozího certifikátu.

POZNÁMKA: Následující verze vydání systému OS10 jsou dodávány s novým výchozím certifikátem, který řeší tento problém s vypršením platnosti certifikátu:
10.4.3.7
10.5.0.9
10.5.1.9
VÝSTRAHA 10.5.2.6

: Uživatelé, kteří se rozhodnou provést upgrade na nejnovější firmware, musípostupovat podle postupu upgradu uvedeného v části Příprava upgraduv dokumentu Průvodce instalací, upgradem a downgradem systému Dell EMC SmartFabric OS10 na našich stránkách podpory.

U verzí 10.4.3.0 až 10.5.0.7P3 musí uživatelé postupovat podle rozlišení podle této tabulky, aby se zabránilo problémům se sítí z důvodu vypršení platnosti výchozího certifikátu:       
 

Kategorie nasazení	Doporučené rozlišení	Případně pokud je možné provést upgrade.
Přepínače jiné než MX v režimu non-VLT non-SFS	Žádné kroky nejsou zapotřebí.	Žádné kroky nejsou zapotřebí.
MX- SFSm ode	Aktualizujte výchozí certifikát na nový výchozí certifikát pomocí skriptů poskytnutých společností Dell na všech uzlech. Aby se nový výchozí certifikát projevil, je nutné: – Reboot SFS primary – Také v nasazení multiclusteru restartujte jednoho z partnerů VLT v každém páru VLT.	Upgrade na > = 10.5.1.7 před 27. červencem 2021 Postupujte podle pokynů pro upgrade v uživatelské příručce k šasi PowerEdge MX7000 Šasi MX7000 ve verzích Dell EMC OpenManage Enterprise-Modular Edition for PowerEdge MX7000 SolutionBaselines – Na stránce 15-17 jsou zobrazeny směrné plány firmwaru kompatibilních komponent. Matice aktualizací firmwaru systému OS10 – Strana 22 podrobně popisuje cestu upgradu přepínačů OS10.
Režim MX-Full-switch
Přepínače v režimu VLT bez SFS	Aktualizujte výchozí certifikát na nový výchozí certifikát pomocí skriptů poskytnutých společností Dell na všech uzlech. Aby se nový výchozí certifikát projevil, je nutné provést "vypnout" a "bez vypnutí" rozhraní/připojení VLTi primárního přepínače VLT.	Upgrade na verzi > = 10.5.1.0 před 27. červencem 2021
VxRail–SFS-Single Rack	Aktualizujte výchozí certifikát na nový výchozí certifikát pomocí skriptů poskytnutých společností Dell na všech uzlech. Aby se nový výchozí certifikát projevil, je nutné: – Reboot SFS primary – Také v nasazení multiclusteru restartujte jednoho z partnerů VLT v každém páru VLT.	Upgrade na verzi > = 10.5.2.2 před 27. červencem2021
VxRail-SFS-Multi-Rack
S5148	Proveďte upgrade na verzi 10.4.3.x a poté aktualizujte výchozí certifikát na nový výchozí certifikát pomocí skriptů dodaných společností Dell na všech uzlech. Aktualizujte výchozí certifikát na nový výchozí certifikát pomocí skriptů poskytnutých společností Dell na všech uzlech. Aby se nový výchozí certifikát projevil, je nutné provést "vypnout" a "bez vypnutí" rozhraní/připojení VLTi primárního přepínače VLT.	Stejné jako doporučené řešení.

POZNÁMKA: Pro restartování chlopně připojení nebo přepínače VLTi je nutné okno údržby, které může potenciálně narušit tok síťového provozu. Při výpočtu intervalu údržby:       

• U skriptů povolte 3 až 5 minut na zařízení. Když je skript spuštěný, provoz není ovlivněn.
• Při upgradu systému OS10 odhadněte 30 minut na uzel, když přejdete z jedné verze na další.

Balíček skriptů "Dell Networking Default X.509 Certificate Update" je k dispozici v aplikaci Dell Digital Locker s nárokem na systém OS10. Název souboru balíčku skriptu je "cert_upgrade_script" a obsahuje soubor README, který obsahuje podrobné pokyny ke spuštění skriptů. Klikněte na přepínač v účtu DDL a poté přejděte na dostupné soubory ke stažení a zobrazte si balíček skriptů.

Další podrobnosti o přihlášení a stažení skriptu najdete v článku Dell Networking Jak stáhnout systém OS10 Cert_Upgrade_Script z aplikace Dell Digital Locker

Další podrobné podrobnosti o tom, jak dokončit aktualizaci certifikátu, jsou k dispozici v těchto článcích:

Vyberte si jeden

z přepínačůDell Networking OS10 Jak spustit aktualizaci certifikátu zoperačního systému Linux

Dell Networking OS10 Jak spustit aktualizaci certifikátu přímo z přepínače

OS10 Zde naleznete video o postupu aktualizace certifikátu v systému Dell Networking OS10, jak spustit aktualizaci certifikátu ze systému Windows pomocí jazyka Python

.

POZNÁMKA: V závislosti na tom, kam je soubor skriptu uložen, můžete mít k dispozici jinou cestu k souboru a poté to, co se používá v tomto videu.





POZOR: Všechny přepínače v clusteru nebo VLT musí mít nainstalovaný stejný certifikát pro komunikaci clusteru nebo VLT. Během stejného okna údržby je nutné spustit skript na všech uzlech v clusteru a VLT.

Po aktualizaci výchozího certifikátu přepínačů si poznamenejte následující:      

• Pokud downgradeujete jinou verzi softwaru, která má starý výchozí certifikát, může se problém opakovat.
• Pokud spustíte systém na jiném oddílu, který má stále starý výchozí certifikát, může se problém opakovat.
• Pokud nahradíte přepínač verzí pomocí starého výchozího certifikátu, může se problém opakovat.

Pokud dojde k některé z těchto situací, měli byste:     

•   Pomocí skriptu znovu aktualizujte výchozí certifikát.

ALERT: Certifikát se nepoužívá, pokud všechny systémy v clusteru používají verzi 10.5.1.0 nebo novější. Pokud je cluster spuštěný se smíšenými verzemi systému OS10 s některými uzly s verzí 10.5.0.x a nižší, Poté musí systémy s příponou 10.5.1.x nebo vyšší spustit skript a nainstalovat nový certifikát, aby uzly vytvořily cluster.

Některé nové přepínače dodávané s verzemi 10.4.3 nebo 10.5.0 mají již nainstalovaný nový výchozí certifikát. Kromě toho mají některé náhradní servisní přepínače nainstalovaný nový výchozí certifikát. Tyto jednotky jsou označeny štítkem na jednotce s nápisem "Cert Updated"

. Použití takového přepínače v clusteru VLT nebo SFS  

• Všechny přepínače v clusteru musí mít nainstalovaný nový výchozí certifikát.