Dell Networking OS10 certificaat verlopen en oplossing
Zusammenfassung:
Dit artikel is gemaakt om het verlopen van het OS10 x.509v3-beveiligingscertificaat op 27 juli 2021 te verhelpen. Het scriptpakket "Dell Networking Default X.509 Certificate
Update" is beschikbaar op Dell Digital Locker met uw OS10-recht.
...
Wählen Sie ein Produkt aus, um die Artikelrelevanz zu prüfen.
Dieser Artikel gilt für Dieser Artikel gilt nicht für
Specifieke versies van OS10 (zie betreffende softwareversies) bevatten een standaardcertificaat dat wordt gebruikt voor VLT peer-establishment en SFS-clustervorming. Dit standaardcertificaat verloopt op 27 juli 2021. Na verloop van tijd treden problemen met de bereikbaarheid van het verkeer op wanneer een van deze switches een volgende herstart van de switch, link flap, door de operator geactiveerde configuratiewijziging, vMotion en andere netwerkgebeurtenissen heeft. Certificaatuitval heeft geen bijbehorende berichten in syslog, traps of op de gebruikersinterface.
Betreffende softwarereleases, per model:
OS10-versie
Model
10.3.2ER3P1
Alleen S5148F
10.4.0E. R3SP2 t/m 10.4.0E. R4SP2
Alleen MX9116 en MX5108
10.4.1.4 t/m 10.4.3.6P5
Alle OS10 modellen (incl. MX9116, MX5108 en S5148F)
10.5.0.0 t/m 10.5.0.7P3
Alle OS10-modellen (incl. MX9116 en MX5108)
Oplossing
OPMERKING: Zie het bijgevoegde tech sheet voor een PDF-versie van deze resolutie die u kunt verstrekken aan de technicus die de upgrade zal uitvoeren.
OPMERKING: Gebruikers van getroffen versies van 10.3.2.x tot 10.4.2.x, certificaatupdate is niet beschikbaar. Gebruikers moeten upgraden naar 10.4.3.0 of hoger (10.5.0.x of hoger voor MX) en moeten de onderstaande tabel volgen.
OPMERKING: Voor PowerEdge MX-gebruikers op 10.4.0E (R3SP2)- 10.4.0E (R4SP2). Als upgraden naar de nieuwste basislijn niet haalbaar is op 27 juli 2021, neemt u contact op met Dell Technische Support voor hulp bij het bijwerken van het standaardcertificaat.
OPMERKING: De volgende OS10-releaseversies worden geleverd met het nieuwe standaardcertificaat waarmee dit probleem met het verlopen van het certificaat wordt opgelost:
10.4.3.7 10.5.0.9 10.5.1.9 10.5.2.6
Voor releases 10.4.3.0 t/m 10.5.0.7P3 moeten gebruikers volgens deze tabel de oplossing volgen om netwerkproblemen te voorkomen vanwege het verlopen van het standaardcertificaat:
Implementatiecategorie
Aanbevolen oplossing
Als een upgrade mogelijk is, kunt u ook een upgrade uitvoeren.
Niet-MX switches in niet-VLT niet-SFS-modus
Geen actie vereist.
Geen actie vereist.
MX- SFS mode
Werk het standaardcertificaat bij naar een nieuw standaardcertificaat met behulp van de door Dell geleverde scripts op alle knooppunten.
Om het nieuwe standaardcertificaat van kracht te maken, is het een MUST om: - Start de primaire SFS opnieuw op - Start bij implementatie van meerdere clusters ook een van de VLT-peers in elk VLT-paar opnieuw op.
MX7000 Solution Baselines - Pagina 15-17 toont de compatibele componentfirmware-basislijnen. OS10 Firmware Update Matrix - Pagina 22 beschrijft het upgradepad voor OS10 switches.
MX-full-switch-modus
Switches in VLT niet-SFS-modus
Werk het standaardcertificaat bij naar een nieuw standaardcertificaat met behulp van de door Dell geleverde scripts op alle knooppunten.
Om het nieuwe standaardcertificaat van kracht te maken, is het een MUST om "shut" en "no shut" uit te voeren op de VLT Primaire switch-interface/koppeling.
Upgrade naar versie >=10.5.1.0, vóór 27 juli 2021
VxRail-SFS-Single Rack
Werk het standaardcertificaat bij naar een nieuw standaardcertificaat met behulp van de door Dell geleverde scripts op alle knooppunten.
Om het nieuwe standaardcertificaat van kracht te maken, is het een MUST: - Start de primaire SFS opnieuw op - Start bij implementatie van meerdere clusters ook een van de VLT-peers in elk VLT-paar opnieuw op.
Upgrade naar versie >=10.5.2.2, vóór 27 juli2021
VxRail-SFS-Multi-Rack
S5148
Upgrade naar 10.4.3.x en werk het standaardcertificaat bij naar een nieuw standaardcertificaat met behulp van de door Dell geleverde scripts op alle knooppunten.
Werk het standaardcertificaat bij naar een nieuw standaardcertificaat met behulp van de door Dell geleverde scripts op alle knooppunten.
Om het nieuwe standaardcertificaat van kracht te maken, is het een MUST om "shut" en "no shut" uit te voeren op de VLT Primaire switch-interface/koppeling.
Hetzelfde als de aanbevolen oplossing.
OPMERKING: Er is een onderhoudsvenster vereist voor het flapje van de VLTi-koppeling of het opnieuw opstarten van de switch, omdat dit de netwerkverkeerstroom kan verstoren. Bij het berekenen van uw onderhoudsvenster:
Voor script, staat u 3 tot 5 minuten per apparaat toe. Terwijl het script wordt uitgevoerd, wordt het verkeer niet beïnvloed.
Voor het upgraden van OS10 kunt u een schatting maken van 30 minuten per knooppunt wanneer u van de ene release naar de andere gaat.
Het scriptpakket "Dell Networking Default X.509 Certificate Update" is beschikbaar op Dell Digital Locker met uw OS10-recht. De bestandsnaam van het scriptpakket is "cert_upgrade_script" en het bevat een README-bestand met gedetailleerde instructies voor het uitvoeren van de scripts. Klik op een switch in uw DDL-account en ga naar beschikbare downloads om het scriptpakket te bekijken.
Hier volgt een video met het proces voor het bijwerken van het certificaat met behulp van een Python-script.
LET OP: Afhankelijk van waar u uw scriptbestand hebt opgeslagen, hebt u mogelijk een ander bestandspad dan wat in deze video wordt gebruikt.
VOORZICHTIGHEID: Alle switches in een cluster of VLT moeten hetzelfde certificaat hebben dat is geïnstalleerd voor cluster- of VLT-communicatie. Het is verplicht om het script uit te voeren op alle knooppunten in het cluster en VLT tijdens hetzelfde onderhoudsvenster.
Nadat u het standaardcertificaat op de switches hebt bijgewerkt, moet u het volgende noteren:
Als u een andere softwareversie met het oude standaardcertificaat downgradet, kan het probleem zich opnieuw voordoen.
Als u opstart op een andere partitie die nog steeds een oud standaardcertificaat heeft, kan het probleem zich opnieuw voordoen.
Als u een switch vervangt door een versie met behulp van het oude standaardcertificaat, kan het probleem zich opnieuw voordoen.
Als een van deze scenario's zich voordoet, moet u:
Gebruik het script om het standaardcertificaat opnieuw bij te werken.
ALERT: Het certificaat wordt niet gebruikt wanneer alle systemen in een cluster 10.5.1.0 of hoger gebruiken. Als het cluster wordt uitgevoerd met gemengde versies van OS10 met sommige knooppunten met 10.5.0.x en lager. Vervolgens moeten systemen met 10.5.1.x of hoger het script uitvoeren om het nieuwe certificaat te installeren zodat de knooppunten een cluster vormen.
Sommige nieuwe switches die worden geleverd met 10.4.3 of 10.5.0 hebben al een nieuw standaardcertificaat geïnstalleerd. Bovendien hebben sommige servicevervangingsswitches een nieuw standaardcertificaat geïnstalleerd. Deze units worden geïdentificeerd aan de hand van een sticker op de eenheid met de melding "Cert Updated".
Een dergelijke switch gebruiken in een VLT- of SFS-cluster
Op alle switches in het cluster moet het nieuwe standaardcertificaat zijn geïnstalleerd.
Artikeleigenschaften
Artikelnummer: 000184027
Artikeltyp: How To
Zuletzt geändert: 21 Dez. 2022
Version: 47
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.
Artikeleigenschaften
Artikelnummer: 000184027
Artikeltyp: How To
Zuletzt geändert: 21 Dez. 2022
Version: 47
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.