Article Number: 000192537
Jos Azure Storage -varmenne muuttuu (heinäkuusta 2022 alkaen) ennen kuin uudet varmenteet lisätään pilvipalveluun luotetuiksi, pilviyksikkö siirtyy yhteydettömään tilaan Data Domain -järjestelmässä, jonka Cloud Tier on Azuressa:
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Jos Data Domain Virtual Edition (DDVE) on otettu käyttöön Azuressa atos (Active Tier on Object Storage) -tallennuksen kanssa, tiedostojärjestelmä poistetaan käytöstä seuraavien hälytysten yhteydessä:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Microsoft Azure Storage -palvelut on päivitetty käyttämään varmenteiden myöntäjien (CA) TLS-varmenteita, jotka on ketjutettu DigiCert Global G2 -pääkansioon. Tällä välin nykyisiä varmenteita (jotka on myöntänyt Cyber-Trust-pääkäyttäjä) käytetään kuitenkin edelleen.
Muutos alkaa heinäkuusta 2022 ja sen odotetaan valmistuvan lokakuun loppuun 2022 mennessä. Suosittelemme asentamaan uuden varmenteen ennen 30.6.2022. ÄLÄ poista nykyistä varmennetta.
Jotta Blob-säilöjä (joko Data Domain Cloud Tier- tai DDVE ATOS -tason) voi käyttää, Data Domain -järjestelmät edellyttävät uutta DigiCert Global G2 -päämyöntäjän varmennetta nykyisen pilveen luotetun Cyber-Trust-päämyöntäjän varmenteen sijasta.
Lisätietoja aiheesta on seuraavassa virallisessa Azure Security Blob:
Azure Storage TLS -artikkelissa: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.
Jotta siirtyminen uusiin Azure Storage -suojausvarmenteiden käyttöönottoon olisi mahdollisimman sujuvaa, kun muutoksia alettiin lisätä heinäkuussa 2022, luotettava Azure Cyber-Trust root CA -varmenne on säilytettävä luotettuna pilvipalvelussa Data Domainissa ja uuden DigiCert Global G2 Root CA -varmenteen lisääminen luotetuksi pilvipalveluun, eikä korvaa toista.
Kummankin varmenteen säilyttäminen ei aiheuta ongelmia, ja data domainin DDVE-järjestelmä voi luottaa Azure Storage -yhteyksiin riippumatta varmenteen myöntäjän tarjoamasta varmenteesta. Näin vältetään käyttökatkokset, koska Data Domain/ DDVE -järjestelmälle näytetään uusi varmenne ensimmäisen kerran heinäkuussa 2022 alkaen.
Seuraavat ohjeet koskevat DigiCert Global G2 -päävarmenteen tukea Data Domain -järjestelmille, joihin on määritetty Cloud Tier tai DDVE, jotka on otettu käyttöön Azure Cloud -alustassa ATOS:n kanssa. Lisäksi suositellaan, että lisäät DigiCert Global G3 -päävarmenteen ja Microsoft ECC:n tai RSA:n päävarmenteen myöntäjän varmenteen, jotta vältyt tulevilta häiriöiltä.
Varmista seuraavan esimerkin mukaisesti, että Data Domain DDVE -järjestelmässä on Käytössä Cyber-Trust Root pilvisovellusta varten:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
VAIHTOEHTO 1: Ohjeet varmenteen asentamiseen Microsoft Windows Workstation
For a Demo -sovelluksella ovat seuraavassa videossa:
Katso YouTubesta
Luo kansio paikalliseen työasemaan.
Esimerkki:
C:\MS-AZ-varmenteet
Lataa DigiCert Global Root G2/G3 -varmenteet seuraavalta sivulta:
DigiCert Root Certificates - Download & Test | DigiCert.com
Napsauta Download PEM -kohtaa hiiren kakkospainikkeella ja tallenna linkki seuraavasti:
DigiCertGlobalRootG2.crt.pem
SHA1 -tunniste: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCertGlobalRootG3.crt.pem
SHA1 -tunniste: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Lataa Microsoftin RSA- ja ECC-varmenne.
Napsauta Download PEM -kohtaa hiiren kakkospainikkeella ja tallenna linkki seuraavasti:
Microsoft RSA Root Certificate Authority 2017 (englanninkielinen
) (Sormenjälki: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)
Microsoft ECC Root Certificate Authority 2017 (englanninkielinen
) (Sormenjälki: 999a64c37ff47d9fab95f14769891460eec4c3c5)
Siirry komentoriville ja toimi seuraavasti. Nämä on suoritettava Windows-isännästä, mutta samankaltaisia komentoja voidaan suorittaa Linux-isännästä.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
Vaihda DigiCertGlobalRootG2-tiedostojen tunnisteeksi .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
Muunna Microsoft ECC RSA Root Certificate Authority Certificate -varmenne crt:stä pem-muotoon seuraavasti:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
Tuo kaikki PEM-alustetut varmennetiedostot kansiosta PowerProtect DD System Manager -käyttöliittymässä.
VAIHTOEHTO 2: Ohjeet varmenteen asentamiseen Linux-työasemassa
Lataa seuraavat kaksi DigiCert-varmennetta .pem-muodossa.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1-sormenjälki: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1-sormenjälki: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Lataa kaksi päävarmennetta, jotka ovat CRUT-muodossa.
Microsoft RSA Root Certificate Authority 2017 (englanninkielinen
Microsoft ECC Root Certificate Authority 2017 (englanninkielinen
) (Sormenjälki: 999a64c37ff47d9fab95f14769891460eec4c3c5)
Esimerkki:
Varmenteiden lataaminen Linux wget -apuohjelmalla:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
Muunna kaksi päävarmennetta .pem-muotoon seuraavilla komennoilla.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
Kopioi .pem-varmennetiedostot Data Domain -järjestelmään.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
Asenna varmenne seuraavasti:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
Tarkista uudet varmennetiedot DD DDVE -komentoriviltä:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
Jos jokin varmenteista on lisätty vahingossa muuhun kuin pilvipalveluun, poista se Access Management -käyttöliittymän Certification Authority -varmenteesta.
Cloud Tier -tiedostojärjestelmään määritetyssä Data Domain -järjestelmässä yhteyden muodostaminen pilviyksiköihin voi edellyttää uudelleenkäynnistystä. Järjestä käyttökatko ja käynnistä tiedostojärjestelmä uudelleen seuraavalla komennolla:#filesys restart
Jos Data Domain -järjestelmä toimii Azure-alustalla, käynnistä DDVE uudelleen:#system reboot
Data Domain, Integrated Data Protection Appliance Family
16 Jan 2024
6
Solution