Udløb og løsning af Dell Networking OS10-certifikat

Specifikke versioner af OS10 (se berørte softwareudgivelser) indeholder et standardcertifikat, der bruges til VLT-peer-etablering og SFS-klyngedannelse. Dette standardcertifikat udløber d. 27. juli 2021. Efter udløb opstår problemer med trafikkens tilgængelighed, når en af disse switche har en efterfølgende switch-genstart, linkflap, operatør-udløst konfigurationsændring, vMotion og andre netværkshændelser. Certifikatudløb har ikke nogen tilsvarende meddelelser i syslog, traps eller på brugergrænsefladen.

Berørte softwareudgivelser, efter model:
 

OS10-version	Model
10.3.2ER3P1	Kun S5148F
10.4.0E. R3SP2 til 10.4.0E. R4SP2	Kun MX9116 og MX5108
10.4.1.4 til 10.4.3.6P5	Alle OS10-modeller (inkl. MX9116, MX5108 og S5148F)
10.5.0.0 til 10.5.0.7P3	Alle OS10-modeller (inkl. MX9116 og MX5108)

Løsning

BEMÆRK: Se det vedhæftede tekniske ark for en PDF-version af denne løsning, som du kan give til teknikeren, der vil udføre opgraderingen.

BEMÆRK: Isilon Backend Ethernet-brugere bør ikke følge de procedurer, der er beskrevet i denne artikel. For Isilon-brugere henvises til KB-artikel 185548: Udløbet Dell-switchcertifikat på Dell Z9100-ON-switche, der bruges til Isilon Backend Ethernet , for at få oplysninger om problemet. Artiklen kræver et kundelogin.

BEMÆRK:  ECS Gen3-enhedsbrugere bør ikke følge de procedurer, der er beskrevet i denne artikel. For ECS-brugere henvises til kb-artiklen 185691: DTA 185691: ECS: Dell OS10-switch X.509v3-sikkerhedscertifikat udløbet på ECS Front-End- og Back-End-switche kan føre til datautilgængelighed for oplysninger om problemet. Artiklen kræver et kundelogin.

BEMÆRK: Brugere af berørte versioner fra 10.3.2.x til 10.4.2.x, certifikatopdatering er ikke tilgængelig. Brugere skal opgradere til 10.4.3.0 eller nyere (10.5.0.x eller nyere for MX) og skal følge nedenstående tabel.   

BEMÆRK:  For PowerEdge MX-brugere på 10.4.0E (R3SP2)- 10.4.0E(R4SP2) – Hvis en opgradering til det nyeste udgangspunkt ikke er mulig inden 27. juli 2021, skal du kontakte Dells tekniske support for at få hjælp til at opdatere standardcertifikatet.

BEMÆRK: Følgende OS10-udgivelsesversioner leveres med det nye standardcertifikat, der håndterer dette certifikats udløbsproblem:
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

ADVARSEL: For brugere, der vælger at opgradere til den nyeste firmware, SKALdu følge den opgraderingssti, der er angivet i afsnittet Forberedelse af en opgradering i Dell EMC SmartFabric OS10 Guide til installation, opgradering og nedgradering på vores supportwebsted.

For udgivelser fra 10.4.3.0 til 10.5.0.7P3 skal brugerne følge løsningen i henhold til denne tabel for at forhindre netværksproblemer på grund af udløbet standardcertifikat:       
 

Implementeringskategori	Anbefalet løsning	Alternativt, hvis en opgradering er mulig.
Ikke-MX-switche i ikke-VLT ikke-SFS-tilstand	Kræver ingen handling.	Kræver ingen handling.
MX- SFS mode	Opdater standardcertifikatet til et nyt standardcertifikat ved hjælp af de scripts, som Dell har leveret, på alle noder. For at aktivere det nye standardcertifikat skal du gøre følgende: – Genstart SFS primær – Genstart også en af VLT-peers i hvert VLT-par i forbindelse med udrulning af flere licenser.	Opgrader til >=10.5.1.7 før den 27. juli 2021 Følg den opgraderingssti, der findes i Dell EMC OpenManage Enterprise-Modular Edition for PowerEdge MX7000 Chassis-brugervejledningen MX7000 Løsningsbasislinjer – Side 15-17 viser basislinjer for den kompatible komponents firmware. OS10 Firmware Update Matrix – Side 22 beskriver opgraderingsstien til OS10-switche.
MX-fuld switch-tilstand
Switche i VLT ikke-SFS-tilstand	Opdater standardcertifikatet til et nyt standardcertifikat ved hjælp af de scripts, som Dell har leveret, på alle noder. For at få det nye standardcertifikat til at træde i kraft er det et MUST at gøre "shut" og "no shut" på den primære VLT-switchs VLTi-grænseflade/link.	Opgrader til version >=10.5.1.0, før 27. juli 2021
VxRail-SFS-Enkelt rack	Opdater standardcertifikatet til et nyt standardcertifikat ved hjælp af de scripts, som Dell har leveret, på alle noder. For at få det nye standardcertifikat til at træde i kraft, er det et MUST: – Genstart SFS primær – Genstart også en af VLT-peers i hvert VLT-par i forbindelse med udrulning af flere licenser.	Opgrader til version >=10.5.2.2, før 27. juli2021
VxRail-SFS-Multi-Rack
S5148	Opgrader til 10.4.3.x, og opdater derefter standardcertifikatet til et nyt standardcertifikat ved hjælp af de scripts, der blev leveret af Dell på alle noder. Opdater standardcertifikatet til et nyt standardcertifikat ved hjælp af de scripts, som Dell har leveret, på alle noder. For at få det nye standardcertifikat til at træde i kraft er det et MUST at gøre "shut" og "no shut" på den primære VLT-switchs VLTi-grænseflade/link.	Samme som anbefalet løsning.

BEMÆRK: Der kræves et vedligeholdelsesvindue for VLTi-linkflappen eller genstart af switchen, da disse potentielt kan forstyrre netværkstrafikstrømmen. Når du beregner dit vedligeholdelsesvindue:       

• For script skal der gå 3 til 5 minutter pr. enhed. Mens scriptet kører, påvirkes trafikken ikke.
• Ved opgradering af OS10 skal du anslå 30 minutter pr. node, når du går fra én udgivelse til den næste.

Scriptpakken "Dell Networking Default X.509 Certificate Update" er tilgængelig på Dell Digital Locker med din OS10-rettighed. Scriptpakkens filnavn er "cert_upgrade_script", og det indeholder en README-fil med detaljerede instruktioner om, hvordan du kører scripts. Klik på en switch i din DDL-konto, og gå derefter til tilgængelige downloads for at se scriptpakken.

Du kan finde flere oplysninger om at logge på og downloade scriptet i Dell Networking Sådan downloader du OS10-Cert_Upgrade_Script fra Dell Digital Locker
Yderligere trin for trin-oplysninger om, hvordan du fuldfører certifikatopdateringen, findes i disse artikler:

Vælg et

Dell Networking OS10 Sådan køres certifikatopdatering fra Linux

Dell Networking OS10 Sådan køres certifikatopdatering direkte fra OS10-switchen


Dell Networking OS10 Sådan køres certifikatopdatering fra Windows med Python

Her er en video, der viser processen for at opdatere certifikatet ved hjælp af et Python-script.

BEMÆRK: Afhængigt af, hvor du har gemt scriptfilen, kan du have en anden filsti, og derefter hvad der bruges i denne video.





FORSIGTIGHED: Alle switche i en klynge eller VLT skal have det samme certifikat, som er installeret til klynge- eller VLT-kommunikation. Det er obligatorisk at køre scriptet på alle noderne i klyngen og VLT'et i samme vedligeholdelsesvindue.

Når du har opdateret standardcertifikatet på switchene, skal du bemærke følgende:      

• Hvis du nedgraderer en anden softwareversion, der har det gamle standardcertifikat, kan du opleve problemet igen.
• Hvis du starter op på en anden partition, der stadig har et gammelt standardcertifikat, kan du opleve problemet igen.
• Hvis du udskifter en switch med en version ved hjælp af det gamle standardcertifikat, kan du opleve problemet igen.

Hvis nogle af disse scenarier opstår, skal du:     

•   Brug scriptet til at opdatere standardcertifikatet igen.

ADVARSEL: Certifikatet anvendes ikke, når alle systemer i en klynge bruger 10.5.1.0 eller nyere. Hvis klyngen kører med blandede versioner af OS10 med nogle noder, der kører 10.5.0.x og derunder. Derefter skal systemer, der kører 10.5.1.x eller derover, køre scriptet for at installere det nye certifikat for noderne for at danne en klynge.

Nogle nye switche med 10.4.3 eller 10.5.0 har allerede et nyt standardcertifikat installeret. Derudover har nogle switche til udskiftning af tjenester et nyt standardcertifikat installeret. Disse enheder er identificeret af en mærkat på enheden, der hedder "Cert Updated".

Sådan bruges en sådan switch i VLT- eller SFS-klynge  

• Alle switche i klyngen skal have det nye standardcertifikat installeret.