Expiration et solution du certificat Dell Networking OS10

Les versions spécifiques d’OS10 (voir Versions logicielles concernées) contiennent un certificat par défaut qui est utilisé pour l’établissement homologue VLT et la formation de cluster SFS. Ce certificat par défaut expire le 27 juillet 2021. Après l’expiration, des problèmes d’accessibilité du trafic se produisent lorsque l’un de ces commutateurs a un redémarrage de commutateur suivant, un rabat de liaison, un changement de configuration déclenché par l’opérateur, vMotion et d’autres événements réseau. L’expiration du certificat ne contient aucun message correspondant dans le journal syslog, les interruptions ou sur l’interface utilisateur.

Versions logicielles concernées, par modèle:
 

OS10 Version	Modèle
10.3.2ER3P1	S5148F uniquement
10.4.0E. R3SP2 à 10.4.0E. R4SP2	MX9116 et MX5108 uniquement
10.4.1.4 à 10.4.3.6P5	Tous les modèles OS10 (y compris MX9116, MX5108 et S5148F)
10.5.0.0 à 10.5.0.7P3	Tous les modèles OS10 (y compris MX9116 et MX5108)

Solution

Remarque : Reportez-vous à la fiche technique jointe pour obtenir une version PDF de cette résolution que vous pouvez fournir à l’ingénieur qui effectuera la mise à niveau.

NOTE: Les utilisateurs Ethernet back-end Isilon ne doivent pas suivre les procédures décrites dans cet article. Pour Isilon, les utilisateurs peuvent consulter l’article de la base de connaissances 185548: Expiration du certificat de commutateur Dell sur les commutateurs Dell Z9100-ON utilisés pour Isilon Backend Ethernet pour plus d’informations sur le problème. L’article nécessite une connexion client.

NOTE:  Les utilisateurs de l’appliance ECS Gen 3 ne doivent pas suivre les procédures décrites dans cet article. Pour ECS, les utilisateurs peuvent consulter l’article de la base de connaissances 185691: DTA 185691 : ECS : L’expiration du certificat de sécurité du commutateur Dell OS10 X.509v3 sur les commutateurs front-end et back-end ECS peut entraîner une indisponibilité des données pour plus d’informations sur le problème. L’article nécessite une connexion client.

NOTE: Les utilisateurs des versions concernées de 10.3.2.x à 10.4.2.x, la mise à jour du certificat n’est pas disponible. Les utilisateurs doivent effectuer une mise à niveau vers la version 10.4.3.0 ou ultérieure (10.5.0.x ou une version ultérieure pour MX) et doivent suivre le tableau ci-dessous.   

Remarque :  Pour les utilisateurs de PowerEdge MX sur 10.4.0E (R3SP2) - 10.4.0E (R4SP2), si la mise à niveau vers la dernière ligne de base n’est pas possible avant le 27 juillet 2021, contactez le support technique Dell pour obtenir de l’aide pour mettre à jour le certificat par défaut.

NOTE: Les versions suivantes de la version OS10 sont livrées avec le nouveau certificat par défaut qui traite ce problème d’expiration du certificat:
10.4.3.7
10.5.0.9
10.5.1.9
10.5.2.6

ALERTE: Pour les utilisateurs qui choisissent de mettre à niveau vers la dernière version du micrologiciel, vous DEVEZsuivre le chemin de mise à niveau indiqué dans la section Préparation d’une mise à niveau du Guide d’installation, de mise à niveau et de rétrogradation de Dell EMC SmartFabric OS10 sur notre site de support.

Pour les versions 10.4.3.0 à 10.5.0.7P3, les utilisateurs doivent suivre la résolution conformément à ce tableau pour éviter les problèmes réseau dus à l’expiration du certificat par défaut:       
 

Catégorie de déploiement	Résolution recommandée	Sinon, si une mise à niveau est possible.
Commutateurs non MX en mode non SFS non VLT	Aucune action requise.	Aucune action requise.
MX- Mode SFS	Mettez à jour le certificat par défaut vers un nouveau certificat par défaut à l’aide des scripts fournis par Dell sur tous les nœuds. Pour que le nouveau certificat par défaut soit en vigueur, il est obligatoire d’effectuer les opérations suivantes: - Redémarrez SFS primaire - En outre, dans le déploiement multicluster, redémarrez l’un des homologues VLT dans chaque paire VLT.	Mise à niveau vers >=10.5.1.7 avant le 27 juillet 2021 Suivez le chemin de mise à niveau disponible dans le Guide de l’utilisateur du châssis Dell EMC OpenManage Enterprise-Modular Edition pour PowerEdge MX7000 Références de la solutionMX7000 - La page 15-17 présente les lignes de base de firmware des composants compatibles. Os10 Firmware Update Matrix (Matrice de mise à jour du firmware OS10 ): la page 22 détaille le chemin de mise à niveau des commutateurs OS10.
Mode commutateur MX-Full
Commutateurs en mode non SFS VLT	Mettez à jour le certificat par défaut vers un nouveau certificat par défaut à l’aide des scripts fournis par Dell sur tous les nœuds. Pour appliquer le nouveau certificat par défaut, il est obligatoire d’effectuer l'« arrêt » et l'« absence d’arrêt » sur l’interface/la liaison VLTi du commutateur VLT principal.	Mise à niveau vers la version >=10.5.1.0, avant le 27 juillet 2021
Rack unique VxRail-SFS	Mettez à jour le certificat par défaut vers un nouveau certificat par défaut à l’aide des scripts fournis par Dell sur tous les nœuds. Pour que le nouveau certificat par défaut soit en vigueur, il est obligatoire: - Redémarrez SFS primaire - En outre, dans le déploiement multicluster, redémarrez l’un des homologues VLT dans chaque paire VLT.	Mise à niveau vers la version >=10.5.2.2, avant le 27 juillet2021
VxRail-SFS-Multi-Rack
S5148	Effectuez une mise à niveau vers la version 10.4.3.x, puis mettez à jour le certificat par défaut vers un nouveau certificat par défaut à l’aide des scripts fournis par Dell sur tous les nœuds. Mettez à jour le certificat par défaut vers un nouveau certificat par défaut à l’aide des scripts fournis par Dell sur tous les nœuds. Pour appliquer le nouveau certificat par défaut, il est obligatoire d’effectuer l'« arrêt » et l'« absence d’arrêt » sur l’interface/la liaison VLTi du commutateur VLT principal.	Identique à la résolution recommandée.

Remarque : Une fenêtre de maintenance est requise pour le redémarrage du commutateur ou du volet de liaison VLTi, car cela peut potentiellement perturber le flux de trafic réseau. Lors du calcul de votre fenêtre de maintenance:       

• Pour le script, prévoyez 3 à 5 minutes par périphérique. Lorsque le script est en cours d’exécution, le trafic n’est pas affecté.
• Pour la mise à niveau d’OS10, estimez 30 minutes par nœud lors du passage d’une version à l’autre.

Le package de scripts « Mise à jour du certificat Dell Networking par défaut X.509 » est disponible sur Dell Digital Locker avec votre abonnement OS10. Le nom de fichier du package script est « cert_upgrade_script » et inclut un fichier README contenant des instructions détaillées sur la façon d’exécuter les scripts. Cliquez sur un commutateur dans votre compte DDL, puis accédez aux téléchargements disponibles pour voir le package de scripts.

Pour plus d’informations sur la connexion et le téléchargement du script, reportez-vous à la section Dell Networking Téléchargement d’OS10 Cert_Upgrade_Script à partir de Dell Digital Locker
Détails étape par étape sur la réalisation de la mise à jour du certificat disponibles dans ces articles:

Choisissez un

dell networking OS10 Comment exécuter la mise à jour de certificat à partir de Linux

Dell Networking OS10 Comment exécuter la mise à jour de certificat directement à partir du commutateur

OS10
Dell Networking OS10 Exécution de la mise à jour de certificat à partir de Windows avec Python

Voici une vidéo montrant le processus de mise à jour du certificat à l’aide d’un script Python.

REMARQUE: Selon l’emplacement où vous avez enregistré votre fichier de script, vous pouvez avoir un chemin de fichier différent, puis ce qui est utilisé dans cette vidéo.





ATTENTION: Tous les commutateurs d’un cluster ou VLT doivent avoir le même certificat installé, pour la communication de cluster ou VLT. Il est obligatoire d’exécuter le script sur tous les nœuds du cluster et VLT pendant la même fenêtre de maintenance.

Après la mise à jour du certificat par défaut sur les commutateurs, notez les points suivants:      

• Si vous rétrogradez une autre version du logiciel qui possède l’ancien certificat par défaut, vous risquez de rencontrer à nouveau le problème.
• Si vous démarrez sur une autre partition qui dispose toujours d’un ancien certificat par défaut, vous risquez de rencontrer à nouveau le problème.
• Si vous remplacez un commutateur par une version utilisant l’ancien certificat par défaut, vous risquez de rencontrer à nouveau le problème.

Si l’un de ces scénarios se produit, vous devez:     

•   Utilisez le script pour mettre à jour à nouveau le certificat par défaut.

ALERTE : Le certificat n’est pas utilisé lorsque tous les systèmes d’un cluster utilisent la version 10.5.1.0 ou une version ultérieure. Si le cluster s’exécute avec des versions mixtes d’OS10 avec certains nœuds exécutant 10.5.0.x et versions antérieures. Ensuite, les systèmes exécutant la version 10.5.1.x ou supérieure doivent exécuter le script pour installer le nouveau certificat pour que les nœuds forment un cluster.

Certains nouveaux commutateurs livrés avec la version 10.4.3 ou 10.5.0 disposent déjà d’un nouveau certificat par défaut. En outre, un nouveau certificat par défaut est installé sur certains commutateurs de remplacement de service. Ces unités sont identifiées par un autocollant indiquant « Cert Updated » sur l’unité.

Pour utiliser un tel commutateur dans un cluster VLT ou SFS  

• Le nouveau certificat par défaut doit être installé sur tous les commutateurs du cluster.