Data Domain: Jak řešit nadcházející změny certifikátu microsoft Azure Storage Transport Layer Security u systémů nakonfigurovaných s cloudovou vrstvou nebo systémy nasazenými na cloudové platformě Azure

Pokud dojde ke změně certifikátu Azure Storage (od července 2022) před tím, než se nové certifikáty přidají jako důvěryhodné pro cloud, přejde cloudová jednotka do stavu odpojení pro systém Data Domain, který je konfigurován s vrstvou Cloud Tier v systému Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Pokud je řešení Data Domain Virtual Edition (DDVE) nasazeno v systému Azure s aktivní vrstvou na úložišti objektů (ATOS), systém souborů se deaktivuje s následujícími zprávami výstrah:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Služby Microsoft Azure Storage byly aktualizovány tak, aby používaly certifikáty TLS od certifikačních autorit (CA), které se řetězí až do kořenového adresáře DigiCert Global G2. Do té doby se však stále používají aktuální certifikáty (vydané kořenovým adresářem Cyber-Trust Cyber-Trust).

Tato změna začíná od července 2022 a očekává se, že bude dokončena do konce října 2022. Doporučujeme nainstalovat nový certifikát do 30. června 2022 a NEODSTRAŇUJTE aktuální certifikát.

Pro přístup ke kontejnerům Blob (pro data Domain Cloud Tier nebo DDVE ATOS) vyžadují systémy Data Domain nový kořenový certifikát CA DigiCert Global G2 namísto aktuálního kořenového certifikátu Ca Cyber-Trust Cyber-Trust společnosti Cyber-Trust jako důvěryhodný pro cloud.

Další podrobnosti o tomto tématu naleznete v následujícím oficiálním protokolu Azure security Blob:
Azure Storage TLS: Zásadní změny jsou téměř zde! (... a proč by vás mělo zajímat) – Microsoft Tech Community.

Aby byl přechod na nové bezpečnostní certifikáty azure Storage co nejplynulejší, když se změny začnou posouvat v červenci 2022, je třeba, aby byl důvěryhodný certifikát "Cyber-Trust root CA" v systému Data Domain důvěryhodný pro cloud a aby byl přidán nový certifikát "DigiCert Global G2 Root CA" jako důvěryhodný pro cloud, místo výměny za druhou.

Zachování obou certifikátů nevykazuje žádný problém a umožňuje systému Data Domain DDVE důvěřovat připojení k úložišti Azure Bez ohledu na certifikát vydaný některým z certifikátů certifikačních autorit, a předejít tak jakýmkoli prostojům, protože se v určité fázi od července 2022 poprvé prezentuje nový certifikát systému Data Domain / DDVE.

Následující kroky platí pro podporu kořenového certifikátu DigiCert Global G2 pro systémy Data Domain nakonfigurované buď s cloudovou vrstvou, nebo DDVE nasazenou na platformě Azure Cloud se systémem ATOS. Doporučujeme také přidat kořenový certifikát Společnosti DigiCert Global G3 a certifikát kořenového certifikátu RSA nebo Microsoft ECC, aby nedošlo k narušení v budoucnosti.

Ověřte, zda má systém Data Domain DDVE pro cloudovou aplikaci "Cyber-Trust Root" v následujícím příkladu:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

MOŽNOST 1: Pokyny k instalaci certifikátu pomocí pracovní stanice
Microsoft Windows Pro ukázku klikněte na níže uvedené video:

Sledujte na serveru YouTube.

1. Vytvořte složku na místní pracovní stanici.
   Například:
   C:\MS-AZ-certifikáty

2. Stáhněte si certifikáty Root G2/G3 společnosti DigiCert z následující stránky:
   Kořenové certifikáty DigiCert – Stáhnout a otestovat | DigiCert.com

   Klikněte pravým tlačítkem na možnost Stáhnout PEM a uložte odkaz jako:
   Čtečka otisků prstů DigiCertGlobalRootG2.crt.pem
   SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   Čtečka otisků prstů DigiCertGlobalRootG3.crt.pem
   SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Stáhněte si certifikát Microsoft RSA a ECC.

   Klikněte pravým tlačítkem na možnost Stáhnout PEM a uložte odkaz jako:
   Certifikační autorita Microsoft RSA Root Certificate Authority 2017
   (Otisk prstu: (73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Certifikační autorita Microsoft ECC Root Certificate Authority 2017
   (Otisk prstu: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Přejděte do příkazového řádku a proveďte níže uvedené kroky. Ty mají být spouštěny z hostitele Windows, podobné příkazy však mohou být spuštěny z hostitele Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Přejmenujte soubory DigiCertGlobalRootG2 následovně pomocí .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Převedení certifikátu microsoft ECC RSA Root Certificate Authority z formátu crt na pem následujícím způsobem:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Importujte všechny soubory certifikátu ve formátu PEM ze složky pomocí uživatelského rozhraní správce systému PowerProtect DD.

   • Pro systém Data Domain nakonfigurovaný pomocí cloudové vrstvy:
     Správa dat –> Systém souborů –> Cloudové jednotky –> Správa certifikátů –> Přidat.
     
     
     
     Opakujte výše uvedené kroky u zbývajících tří certifikátů.
   • Pro systém Data Domain spuštěný na platformě Azure se systémem ATOS:
     Data Management -> File System -> Summary -> Modify Object Store -> CERTIFICATE -> Add.
     
     
     Opakujte výše uvedené kroky u zbývajících tří certifikátů.

      

     Poznámka: Nepřidávejte nové certifikáty certifikační autority ve správě přístupu.

MOŽNOST 2: Pokyny k instalaci certifikátu pomocí pracovní stanice Linux

1. Stáhněte následující dva certifikáty DigiCert ve formátu .pem.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Otisk SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Otisk SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Stáhněte si následující dva kořenové certifikáty ve formátu DER CRT.

   Certifikační autorita Microsoft RSA Root Certificate Authority 2017
   (Otisk prstu: (73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    

   Certifikační autorita Microsoft ECC Root Certificate Authority 2017
   (Otisk prstu: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Příklad:
   Stažení certifikátů pomocí nástroje Linux wget:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Převedení dvou kořenových certifikátů na formát .pem pomocí níže uvedených příkazů.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Zkopírujte soubory certifikátu .pem do systému Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Nainstalujte certifikát následujícím způsobem:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Zkontrolujte nové informace o certifikátu z příkazového řádku dd DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Pokud byly některé certifikáty omylem přidány pro "aplikaci" jiná než "cloud", odstraňte je z certifikátu certifikační autority v uživatelském rozhraní access management.
   

   Poznámka: Neodstraňujte starý certifikát "Cyber-Trust Root".

U systému Data Domain nakonfigurovaného se systémem souborů cloudové vrstvy může být nutné restartovat systém, aby bylo možné obnovit připojení ke cloudovým jednotkám. Zorganizujte prostoje a spuštěním následujícího příkazu restartujte systém souborů:
#filesys restart

V systému Data Domain spuštěným na platformě Azure restartujte řešení DDVE:
#system reboot