Dell Networking OS10-certifikatets upphörande och lösning
Zusammenfassung:
Den här artikeln skapas för att åtgärda när säkerhetscertifikatet för OS10 x.509v3 upphör att gälla den 27 juli 2021. Skriptpaketet
"Dell Networking Default X.509 Certificate Update" är tillgängligt på Dell Digital Locker med din OS10-behörighet.
...
Wählen Sie ein Produkt aus, um die Artikelrelevanz zu prüfen.
Dieser Artikel gilt für Dieser Artikel gilt nicht für
Specifika versioner av OS10 (se Berörda programvaruversioner) innehåller ett standardcertifikat som används för VLT peer-etablering och SFS-klusterbildning. Det här standardcertifikatet upphör att gälla den 27 juli 2021. Efter utgångstiden uppstår problem med trafikåtkomlighet när en av switcharna har en efterföljande switchomstart, länkklaff, konfigurationsändring som utlöses av operatören, vMotion och andra nätverkshändelser. Certifikatutgång har inga motsvarande meddelanden i syslog, traps eller i användargränssnittet.
Berörda programvaruversioner, efter modell:
OS10-version
Modell
10.3.2ER3P1
Endast S5148F
10.4.0E. R3SP2 till 10.4.0E. R4SP2
Endast MX9116 och MX5108
10.4.1.4 till 10.4.3.6P5
Alla OS10-modeller (inklusive MX9116, MX5108 och S5148F)
10.5.0.0 till 10.5.0.7P3
Alla OS10-modeller (inklusive MX9116 och MX5108)
Lösning
Obs! I det bifogade teknikbladet finns en PDF-version av den här lösningen som du kan tillhandahålla till teknikern som utför uppgraderingen.
OBSERVERA: Användare av berörda versioner från 10.3.2.x till 10.4.2.x, certifikatuppdatering är inte tillgänglig. Användare måste uppgradera till 10.4.3.0 eller senare (10.5.0.x eller senare för MX) och måste följa tabellen nedan.
Obs! För PowerEdge MX-användare på 10.4.0E(R3SP2)- 10.4.0E (R4SP2). Om det inte går att uppgradera till den senaste baslinjen senast den 27 juli 2021 kontaktar du Dells tekniska support för att få hjälp med att uppdatera standardcertifikatet.
OBSERVERA: Följande OS10-versioner levereras med det nya standardcertifikatet som åtgärdar problemet med utgång av certifikatet:
10.4.3.7 10.5.0.9 10.5.1.9 10.5.2.6
För versionerna 10.4.3.0 till 10.5.0.7P3 måste användarna följa lösningen enligt den här tabellen för att förhindra nätverksproblem på grund av standardcertifikatets förfallodatum:
Distributionskategori
Rekommenderad upplösning
Alternativt, om det går att uppgradera.
Icke-MX-switchar i icke-VLT icke-SFS-läge
Ingen åtgärd krävs.
Ingen åtgärd krävs.
MX- SFS mutan
Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder.
För att det nya standardcertifikatet ska gälla är det ett MÅSTE att: – Starta om SFS primary – Starta också om en av VLT-peersna i varje VLT-par i multicluster-distributionen i multicluster-distributionen.
förMX7000-lösningsbaslinjer – sidan 15-17 visar de kompatibla baslinjerna för fast programvara för komponenter. Uppdateringsmatris för fast programvara för OS10 – sidan 22 innehåller information om uppgraderingssökvägen för OS10-switchar.
MX–Full-switch-läge
Switchar i VLT-läge utan SFS
Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder.
För att det nya standardcertifikatet ska gälla är det ett MÅSTE att göra "shut" och "no shut" på VLT Primary-switchens VLTi-gränssnitt/-länk.
Uppgradera till version >=10.5.1.0, före 27 juli 2021
VxRail-SFS-Single Rack
Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder.
Om du vill att det nya standardcertifikatet ska gälla är det ett MÅSTE: – Starta om SFS primary – Starta också om en av VLT-peersna i varje VLT-par i multicluster-distributionen i multicluster-distributionen.
Uppgradera till version >=10.5.2.2, före 27 juli2021
VxRail-SFS-Multi-Rack
S5148
Uppgradera till 10.4.3.x och uppdatera sedan standardcertifikatet till ett nytt standardcertifikat med hjälp av skripten som tillhandahålls av Dell på alla noder.
Uppdatera standardcertifikatet till ett nytt standardcertifikat med skript som tillhandahålls av Dell på alla noder.
För att det nya standardcertifikatet ska gälla är det ett MÅSTE att göra "shut" och "no shut" på VLT Primary-switchens VLTi-gränssnitt/-länk.
Samma som rekommenderad upplösning.
Obs! Ett underhållsfönster krävs för VLTi-länkklaff eller switch-omstart eftersom dessa kan störa nätverkstrafikens flöde. När du beräknar underhållsfönstret:
För skript kan du vänta 3 till 5 minuter per enhet. När skriptet körs påverkas inte trafiken.
Om du vill uppgradera OS10 uppskattar du 30 minuter per nod när du går från en version till en annan.
Skriptpaketet "Dell Networking Default X.509 Certificate Update" är tillgängligt på Dell Digital Locker med din OS10-behörighet. Skriptpaketfilnamnet är "cert_upgrade_script" och innehåller en README-fil med detaljerade instruktioner om hur du kör skripten. Klicka på en switch i DDL-kontot och gå sedan till tillgängliga hämtningsbara filer för att se skriptpaketet.
Här visas en video som visar hur du uppdaterar certifikatet med ett Python-skript.
OBS! Beroende på var du har sparat skriptfilen kan du ha en annan filsökväg än den som används i den här videon.
FÖRSIKTIGHET: Alla switchar i ett kluster eller VLT måste ha samma certifikat installerat, för kluster- eller VLT-kommunikation. Det är obligatoriskt att köra skriptet på alla noder i klustret och VLT under samma underhållsfönster.
När du har uppdaterat standardcertifikatet på switcharna noterar du följande:
Om du nedgraderar en annan programvaruversion med det gamla standardcertifikatet kan problemet uppstå igen.
Om du startar på en annan partition som fortfarande har ett gammalt standardcertifikat kan problemet uppstå igen.
Om du byter ut en switch mot en version med det gamla standardcertifikatet kan problemet uppstå igen.
Om något av dessa scenarier inträffar bör du:
Använd skriptet för att uppdatera standardcertifikatet igen.
VARNING! Certifikatet används inte när alla system i ett kluster använder 10.5.1.0 eller senare. Om klustret körs med blandade versioner av OS10 med vissa noder som kör 10.5.0.x och tidigare. Sedan måste system som kör 10.5.1.x eller senare köra skriptet för att installera det nya certifikatet för att noderna ska bilda ett kluster.
Vissa nya switchar som levereras med 10.4.3 eller 10.5.0 har redan ett nytt standardcertifikat installerat. Dessutom har vissa switchar för servicebyte ett nytt standardcertifikat installerat. Dessa enheter identifieras med en etikett på enheten med texten "Cert Updated".
Så här använder du en sådan switch i VLT- eller SFS-klustret
Alla switchar i klustret måste ha det nya standardcertifikatet installerat.
Artikeleigenschaften
Artikelnummer: 000184027
Artikeltyp: How To
Zuletzt geändert: 21 Dez. 2022
Version: 47
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.
Artikeleigenschaften
Artikelnummer: 000184027
Artikeltyp: How To
Zuletzt geändert: 21 Dez. 2022
Version: 47
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.