OneFS avvisa che i certificati radice di Google scadono il 5 dicembre 2025.
PowerScale OneFS 9.8.0.0
isi980-1# isi certificate authority list
ID Name Status Expires
---------------------------------------------------------------------
16af57a BaltimoreCyberTrustRoot valid 2025-05-12T19:59:00 <<<<<<<<<<<<<<<<
Ciò si è verificato in precedenza il 15 novembre 2021, quando OneFS avvisa che i certificati radice di Google scadono il 15 dicembre 2021.
Vengono visualizzati gli avvisi CELOG:
Certificate 'GoogleInternetAuthority_G3' in 'system_ca' store is nearing expiration: <Date/Time>.
Ciò influisce sulle seguenti CA:
GoogleInternetAuthority_G4
GoogleTrustServices_CA_1O1
GoogleInternetAuthority_G3
GlobalSign-Root-R2
GoogleTrustServices_CA_1D2
Utilizzare il seguente comando per visualizzare le autorità in scadenza:
# isi certificate authority list | grep expir
Quando le CA scadono il 15 dicembre 2021, CELOG invia un avviso critico indicando che il certificato è scaduto. Questo avviso può essere trattato nello stesso modo degli eventi di prossima scadenza di cui sopra.
Ciò è dovuto a un timestamp che Google deve aggiornare o rinnovare nei propri certificati radice. L'avvertenza CELOG è impostata per attivarsi un mese prima della scadenza e potrebbe essere visualizzato un avviso critico al momento della scadenza.
Queste CA sono state utilizzate per le configurazioni Google CloudPools, tuttavia tutti i cluster generano avvisi per l'autorità in scadenza.
Le CA in scadenza non sono più utilizzate da Google in base alla seguente
versione.
Verificare se si utilizza un account Google Cloud:
# isi cloud account list
Se non si utilizza CloudPools in alcun modo o si utilizza CloudPools con un servizio diverso da Google Cloud come provider di object store, è possibile rimuovere questi cinque certificati.
Se si utilizza Google Cloud come provider di object store e l'URI del provider di cloud è "storage.googleapis.com", è possibile rimuovere questi cinque certificati.
Se si utilizza Google Cloud con un URI diverso da "storage.googleapis.com", contattare il provider di object store per assicurarsi che siano stati aggiornati i certificati TLS prima di rimuovere i cinque certificati in scadenza dal cluster.
Per rimuovere le CA in scadenza, utilizzare i seguenti comandi:
# isi certificate authority delete GoogleInternetAuthority_G4
# isi certificate authority delete GoogleTrustServices_CA_1O1
# isi certificate authority delete GoogleInternetAuthority_G3
# isi certificate authority delete GlobalSign-Root-R2
# isi certificate authority delete GoogleTrustServices_CA_1D2