Article Number: 000192537
Data Domain: Tulevien Microsoft Azure Storage Transport Layer Security -varmenteen muutosten käsittely järjestelmissä, joihin on määritetty Cloud Tier tai Azure-pilvialustassa käyttöönotetut järjestelmät
Summary: TLS (Transport Layer Security) -varmenteen muutokset Data Domain -järjestelmissä, joihin on määritetty Cloud Tier ja DDVE (Data Domain Virtual Edition), jotka on otettu käyttöön Azure Cloud -alustalla ja joissa on käytössä ATOS (Active Tier on Object Storage). Dell EMC Data Domain suosittelee, että häiriöiden välttämiseksi uudet varmenteet asennetaan mahdollisimman pian. ...
Article Content
Symptoms
Jos Azure Storage -varmenne muuttuu (heinäkuusta 2022 alkaen) ennen kuin uudet varmenteet lisätään pilvipalveluun luotetuiksi, pilviyksikkö siirtyy yhteydettömään tilaan Data Domain -järjestelmässä, jonka Cloud Tier on Azuressa:
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Jos Data Domain Virtual Edition (DDVE) on otettu käyttöön Azuressa atos (Active Tier on Object Storage) -tallennuksen kanssa, tiedostojärjestelmä poistetaan käytöstä seuraavien hälytysten yhteydessä:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Microsoft Azure Storage -palvelut on päivitetty käyttämään varmenteiden myöntäjien (CA) TLS-varmenteita, jotka on ketjutettu DigiCert Global G2 -pääkansioon. Tällä välin nykyisiä varmenteita (jotka on myöntänyt Cyber-Trust-pääkäyttäjä) käytetään kuitenkin edelleen.
Muutos alkaa heinäkuusta 2022 ja sen odotetaan valmistuvan lokakuun loppuun 2022 mennessä. Suosittelemme asentamaan uuden varmenteen ennen 30.6.2022. ÄLÄ poista nykyistä varmennetta.
Jotta Blob-säilöjä (joko Data Domain Cloud Tier- tai DDVE ATOS -tason) voi käyttää, Data Domain -järjestelmät edellyttävät uutta DigiCert Global G2 -päämyöntäjän varmennetta nykyisen pilveen luotetun Cyber-Trust-päämyöntäjän varmenteen sijasta.
Lisätietoja aiheesta on seuraavassa virallisessa Azure Security Blob:
Azure Storage TLS -artikkelissa: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.
Resolution
Jotta siirtyminen uusiin Azure Storage -suojausvarmenteiden käyttöönottoon olisi mahdollisimman sujuvaa, kun muutoksia alettiin lisätä heinäkuussa 2022, luotettava Azure Cyber-Trust root CA -varmenne on säilytettävä luotettuna pilvipalvelussa Data Domainissa ja uuden DigiCert Global G2 Root CA -varmenteen lisääminen luotetuksi pilvipalveluun, eikä korvaa toista.
Kummankin varmenteen säilyttäminen ei aiheuta ongelmia, ja data domainin DDVE-järjestelmä voi luottaa Azure Storage -yhteyksiin riippumatta varmenteen myöntäjän tarjoamasta varmenteesta. Näin vältetään käyttökatkokset, koska Data Domain/ DDVE -järjestelmälle näytetään uusi varmenne ensimmäisen kerran heinäkuussa 2022 alkaen.
Seuraavat ohjeet koskevat DigiCert Global G2 -päävarmenteen tukea Data Domain -järjestelmille, joihin on määritetty Cloud Tier tai DDVE, jotka on otettu käyttöön Azure Cloud -alustassa ATOS:n kanssa. Lisäksi suositellaan, että lisäät DigiCert Global G3 -päävarmenteen ja Microsoft ECC:n tai RSA:n päävarmenteen myöntäjän varmenteen, jotta vältyt tulevilta häiriöiltä.
Varmista seuraavan esimerkin mukaisesti, että Data Domain DDVE -järjestelmässä on Käytössä Cyber-Trust Root pilvisovellusta varten:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
VAIHTOEHTO 1: Ohjeet varmenteen asentamiseen Microsoft Windows Workstation
For a Demo -sovelluksella ovat seuraavassa videossa:
Katso YouTubesta
-
Luo kansio paikalliseen työasemaan.
Esimerkki:
C:\MS-AZ-varmenteet -
Lataa DigiCert Global Root G2/G3 -varmenteet seuraavalta sivulta:
DigiCert Root Certificates - Download & Test | DigiCert.comNapsauta Download PEM -kohtaa hiiren kakkospainikkeella ja tallenna linkki seuraavasti:
DigiCertGlobalRootG2.crt.pem
SHA1 -tunniste: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4DigiCertGlobalRootG3.crt.pem
SHA1 -tunniste: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Lataa Microsoftin RSA- ja ECC-varmenne.
Napsauta Download PEM -kohtaa hiiren kakkospainikkeella ja tallenna linkki seuraavasti:
Microsoft RSA Root Certificate Authority 2017 (englanninkielinen
) (Sormenjälki: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC Root Certificate Authority 2017 (englanninkielinen
) (Sormenjälki: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Siirry komentoriville ja toimi seuraavasti. Nämä on suoritettava Windows-isännästä, mutta samankaltaisia komentoja voidaan suorittaa Linux-isännästä.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Vaihda DigiCertGlobalRootG2-tiedostojen tunnisteeksi .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Muunna Microsoft ECC RSA Root Certificate Authority Certificate -varmenne crt:stä pem-muotoon seuraavasti:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Tuo kaikki PEM-alustetut varmennetiedostot kansiosta PowerProtect DD System Manager -käyttöliittymässä.
- Data domain -järjestelmä, jossa on Cloud Tier:
Tiedonhallinta -> tiedostojärjestelmä -> pilviyksiköt -> varmenteiden hallinta -> lisää
Toista edelliset vaiheet jäljellä olevien kolmen varmenteen kohdalla. - Data Domain -järjestelmä, joka toimii Azure-alustalla, jossa on ATOS:
Tiedonhallinta -> tiedostojärjestelmä -> yhteenveto -> muokkaa objektisäilöä -> VARMENNE -> lisää.
Toista edelliset vaiheet jäljellä olevien kolmen varmenteen kohdalla.Huomautus: Älä lisää uusia varmenteiden myöntäjien varmenteita Access management -kohdassa.
- Data domain -järjestelmä, jossa on Cloud Tier:
VAIHTOEHTO 2: Ohjeet varmenteen asentamiseen Linux-työasemassa
-
Lataa seuraavat kaksi DigiCert-varmennetta .pem-muodossa.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1-sormenjälki: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1-sormenjälki: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Lataa kaksi päävarmennetta, jotka ovat CRUT-muodossa.
Microsoft RSA Root Certificate Authority 2017 (englanninkielinen
) (Sormenjälki: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC Root Certificate Authority 2017 (englanninkielinen
) (Sormenjälki: 999a64c37ff47d9fab95f14769891460eec4c3c5)Esimerkki:
Varmenteiden lataaminen Linux wget -apuohjelmalla:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Muunna kaksi päävarmennetta .pem-muotoon seuraavilla komennoilla.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Kopioi .pem-varmennetiedostot Data Domain -järjestelmään.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Asenna varmenne seuraavasti:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Tarkista uudet varmennetiedot DD DDVE -komentoriviltä:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Jos jokin varmenteista on lisätty vahingossa muuhun kuin pilvipalveluun, poista se Access Management -käyttöliittymän Certification Authority -varmenteesta.
Huomautus: Älä poista vanhaa Kakkospainikkee Cyber-Trust Root -varmennetta.
Cloud Tier -tiedostojärjestelmään määritetyssä Data Domain -järjestelmässä yhteyden muodostaminen pilviyksiköihin voi edellyttää uudelleenkäynnistystä. Järjestä käyttökatko ja käynnistä tiedostojärjestelmä uudelleen seuraavalla komennolla:#filesys restart
Jos Data Domain -järjestelmä toimii Azure-alustalla, käynnistä DDVE uudelleen:#system reboot
Article Properties
Affected Product
Data Domain, Integrated Data Protection Appliance Family
Last Published Date
16 Jan 2024
Version
6
Article Type
Solution