Article Number: 000192537
Data Domain: Come gestire le modifiche imminenti del certificato Microsoft Azure Storage Transport Layer Security per i sistemi configurati con Cloud Tier o i sistemi implementati sulla piattaforma cloud Azure
Summary: Le modifiche ai certificati Transport Layer Security (TLS) contenute in questo articolo interessano i sistemi Data Domain configurati con Cloud Tier e Data Domain Virtual Edition (DDVE) implementati sulla piattaforma cloud di Azure con Active Tier on Object Storage (ATOS). Dell EMC Data Domain consiglia di installare i nuovi certificati il prima possibile per evitare interruzioni. ...
Article Content
Symptoms
In caso di modifica del certificato di storage di Azure (a partire da luglio 2022) prima che i nuovi certificati siano stati aggiunti come attendibili per il cloud, l'unità cloud entra in uno stato di disconnessione per un sistema Data Domain configurato con Cloud Tier in Azure:
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Se Data Domain Virtual Edition (DDVE) viene implementato in Azure con Active Tier su Object Storage (ATOS), il file system viene disabilitato con i seguenti messaggi di avviso:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
I servizi di storage di Microsoft Azure sono stati aggiornati in modo da utilizzare i certificati TLS delle CA che si concatenano a DigiCert Global Root G2. Tuttavia, nel frattempo, i certificati correnti (emessi dal root Diax Cyber-Trust) continuano a essere utilizzati.
Questo cambiamento inizia da luglio 2022 e dovrebbe essere completato entro la fine di ottobre 2022. Si consiglia di installare un nuovo certificato prima del 30 giugno 2022 e DI NON eliminare il certificato corrente.
Per accedere ai contenitori BLOB (per Data Domain Cloud Tier o DDVE ATOS), i sistemi Data Domain richiedono il nuovo certificato CA root DigiCert Global G2 anziché il certificato CA root DigiCert Global corrente anziché il certificato CA root DigiCert Global corrente come attendibile per il cloud.
Per ulteriori informazioni sull'argomento, vedere il seguente BLOB ufficiale di sicurezza Azure:
Azure Storage TLS: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.
Resolution
Per rendere la transizione ai nuovi certificati di sicurezza dello storage Azure il più possibile fluida quando le modifiche iniziano a essere applicate a luglio 2022, è necessario mantenere il certificato "Ciber-Trust root CA" attendibile come attendibile per il cloud in Data Domain e aggiungere il nuovo certificato "DigiCert Global G2 Root CA" anche come attendibile per il cloud, anziché sostituirli uno con l'altro.
La conservazione di entrambi i certificati non comporta alcun problema e consente al sistema Data Domain DDVE di considerare attendibili le connessioni ad Azure Storage indipendentemente dal certificato emesso da una delle CA, evitando così qualsiasi downtime man mano che il nuovo certificato viene presentato al sistema Data Domain/DDVE per la prima volta a partire da luglio 2022.
I seguenti passaggi sono applicabili al supporto del certificato radice DigiCert Global G2 per i sistemi Data Domain configurati con Cloud Tier o DDVE implementati sulla piattaforma cloud Azure con ATOS. Si consiglia inoltre di aggiungere un certificato radice DigiCert Global G3 e un certificato CA Microsoft ECC o RSA root per evitare interruzioni future.
Verificare che il sistema Data Domain DDVE abbia "Native Cyber-Trust Root" per l'applicazione cloud in base al seguente esempio:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
OPZIONE 1: Istruzioni per l'installazione del certificato utilizzando la workstation
Microsoft Windows Per una demo, cliccare sul seguente video:
Guarda su YouTube.
-
Creare una cartella sulla workstation locale.
Ad esempio:
C:\MS-AZ-certificates -
Scaricare i certificati DigiCert Global Root G2/G3 dalla pagina seguente:
Certificati radice DigiCert - Download e test | DigiCert.comCliccare con il pulsante destro del mouse su Scarica PEM e salvare il link come:
DigiCertGlobalRootG2.crt.pem
Impronta digitale SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4DigiCertGlobalRootG3.crt.pem
Impronta digitale SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Scaricare il certificato Microsoft RSA ed ECC.
Cliccare con il pulsante destro del mouse su Scarica PEM e salvare il link come:
Microsoft RSA Root Certificate Authority 2017
(Identificazione personale: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Ca di certificazione radice Microsoft ECC 2017
(Identificazione personale: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Passare alla riga di comando ed eseguire la procedura riportata di seguito. Questi passaggi devono essere eseguiti da un host Windows. Tuttavia, comandi simili possono essere eseguiti da un host Linux.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Rinominare i file DigiCertGlobalRootG2 come indicato di seguito con .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Convertire Microsoft ECC RSA Root Certificate Authority Certificate dal formato CRT al formato PEM, come segue:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Importare tutti i file di certificato formattati con PEM dalla cartella utilizzando l'interfaccia utente di PowerProtect DD System Manager.
- Per il sistema Data Domain configurato con Cloud Tier:
Gestione dei dati -> File System -> Unità cloud -> Gestione certificati -> Aggiungere.
Ripetere i passaggi precedenti per i restanti tre certificati. - Per il sistema Data Domain in esecuzione sulla piattaforma Azure con ATOS:
Gestione dei dati -> File System -> Riepilogo -> Modifica object store -> CERTIFICATO -> Aggiungi.
Ripetere i passaggi precedenti per i restanti tre certificati.Nota: non aggiungere nuovi certificati CA in Access Management.
- Per il sistema Data Domain configurato con Cloud Tier:
OPZIONE 2: Istruzioni per l'installazione del certificato utilizzando la workstation Linux
-
Scaricare i due certificati DigiCert seguenti in formato .pem.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Impronta digitale SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Impronta digitale SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Scaricare i due certificati radice seguenti in formato DER CRT.
Microsoft RSA Root Certificate Authority 2017
(Identificazione personale: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Ca di certificazione radice Microsoft ECC 2017
(Identificazione personale: 999a64c37ff47d9fab95f14769891460eec4c3c5)Esempio:
Download dei certificati tramite l'utilità Linux wget:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Convertire due certificati radice in formato .pem utilizzando i comandi riportati di seguito.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Copiare i file di certificato .pem sul sistema Data Domain.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Installare il certificato nel modo seguente:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Controllare le informazioni sul nuovo certificato dalla riga di comando di DD DDVE:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Se uno qualsiasi dei certificati è stato accidentalmente aggiunto per un'applicazione diversa da "cloud", eliminarla dal certificato dell'autorità di certificazione nell'interfaccia utente di Gestione degli accessi.
Nota: Non eliminare il precedente certificato "Sid Cyber-Trust Root".
Per un sistema Data Domain configurato con un file system Cloud Tier, potrebbe essere necessario un riavvio per ristabilire la connessione con le unità cloud. Prevedere un downtime ed eseguire il seguente comando per riavviare il file system:#filesys restart
Per il sistema Data Domain in esecuzione sulla piattaforma Azure, riavviare DDVE:#system reboot
Article Properties
Affected Product
Data Domain, Integrated Data Protection Appliance Family
Last Published Date
16 Jan 2024
Version
6
Article Type
Solution