Article Number: 000192537
Data Domain: Het afhandelen van aankomende certificaatwijzigingen van Microsoft Azure Storage Transport Layer Security voor systemen die zijn geconfigureerd met Cloud Tier of systemen die zijn geïmplementeerd op het Azure cloudplatform
Summary: De TLS-certificaatwijzigingen (Transport Layer Security) in impact Data Domain-systemen die zijn geconfigureerd met Cloud Tier en Data Domain Virtual Edition (DDVE) geïmplementeerd op Azure Cloud-platform met Active Tier on Object Storage (ATOS). Dell EMC Data Domain raadt aan om de nieuwe certificaten zo vroeg mogelijk te installeren om onderbrekingen te voorkomen. ...
Article Content
Symptoms
Als de wijziging van het Azure Storage-certificaat plaatsvindt (vanaf juli 2022) voordat de nieuwe certificaten worden toegevoegd als vertrouwd voor de cloud, gaat de cloudeenheid in een ontkoppelingsstatus voor een Data Domain-systeem dat is geconfigureerd met Cloud Tier in Azure:
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Als Data Domain Virtual Edition (DDVE) wordt geïmplementeerd op Azure met Active Tier on Object Storage (ATOS), wordt het bestandssysteem uitgeschakeld met de volgende waarschuwingsberichten:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Microsoft Azure Storage-services zijn bijgewerkt om TLS-certificaten van Certificeringsinstanties (CA's) te gebruiken die zijn gekoppeld aan de DigiCert Global G2-root. In de tussentijd blijven echter de huidige certificaten (uitgegeven door de Root van Capsule Cyber-Trust) worden gebruikt.
Deze wijziging begint vanaf juli 2022 en zal naar verwachting eind oktober 2022 zijn voltooid. We raden aan om een nieuw certificaat te installeren vóór 30 juni 2022 en het huidige certificaat NIET te verwijderen.
Voor toegang tot Blob-containers (voor Data Domain Cloud Tier of DDVE ATOS) hebben Data Domain-systemen het nieuwe DigiCert Global G2 root CA-certificaat nodig in plaats van het huidige Basis-CA-certificaat voor Cyber-Trust als vertrouwd voor de cloud.
Zie voor meer informatie over het onderwerp de volgende officiële Azure Security Blob:
Azure Storage TLS: Kritieke wijzigingen zijn er bijna! (... en waarom dit u zou moeten interesseren) - Microsoft Tech Community.
Resolution
Om de overgang naar de nieuwe Azure Storage-beveiligingscertificaten zo soepel mogelijk te laten verlopen wanneer de wijzigingen in juli 2022 beginnen te worden doorgevoerd, is het noodzakelijk om het vertrouwde certificaat "Antiviruse Cyber-Trust root CA" zo vertrouwd te houden voor de cloud in Data Domain en het nieuwe "DigiCert Global G2 Root CA"-certificaat ook als vertrouwd voor de cloud toe te voegen, in plaats van de ene door de andere te vervangen.
Het behouden van beide certificaten doet geen probleem en stelt het Data Domain DDVE-systeem in staat om de verbindingen met Azure Storage te vertrouwen, ongeacht het certificaat dat door een van de CA's wordt uitgegeven, en zo downtime te voorkomen omdat het nieuwe certificaat vanaf juli 2022 voor het eerst wordt gepresenteerd aan het Data Domain/DDVE-systeem.
De volgende stappen zijn van toepassing op het ondersteunen van DigiCert Global G2 root-certificaat voor Data Domain-systemen die zijn geconfigureerd met Cloud Tier of DDVE geïmplementeerd op Azure Cloud platform met ATOS. Het wordt ook aanbevolen om DigiCert Global G3 root certificate en Microsoft ECC of RSA Root Certificate Authority Certificate toe te voegen om toekomstige onderbrekingen te voorkomen.
Bevestig dat het Data Domain DDVE-systeem "Capsulee Cyber-Trust Root" heeft voor cloudapplicatie volgens het volgende voorbeeld:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
OPTIE 1: Instructies voor het installeren van een certificaat met behulp van Microsoft Windows Workstation
Voor een demo klikt u op de onderstaande video:
Kijk op YouTube.
-
Maak een map op uw lokale workstation.
Bijvoorbeeld:
C:\MS-MW-certificaten -
Download DigiCert Global Root G2/G3 certificaten van de volgende pagina:
DigiCert Root Certificates - Downloaden en testen | DigiCert.comKlik met de rechtermuisknop op Download PEM en sla de koppeling op als:
DigiCertGlobalRootG2.crt.pem
SHA1 vingerafdruk: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4DigiCertGlobalRootG3.crt.pem
SHA1 vingerafdruk: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Download het Microsoft RSA- en ECC-certificaat.
Klik met de rechtermuisknop op Download PEM en sla de koppeling op als:
Microsoft RSA Root Certificate Authority 2017
(Duimafdruk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC Root Certificate Authority 2017
(Duimafdruk: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Ga naar de opdrachtregel en voer de onderstaande stappen uit. Deze moeten worden uitgevoerd vanaf een Windows-host, maar vergelijkbare opdrachten kunnen worden uitgevoerd vanaf een Linux-host.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Wijzig de naam van DigiCertGlobalRootG2-bestanden als volgt met .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Converteer het Microsoft ECC RSA root certificate authority certificate van crt naar pem-indeling als volgt:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Importeer alle PEM-geformatteerde certificaatbestanden uit de map met behulp van de PowerProtect DD System Manager UI.
- Voor Data Domain-systemen die zijn geconfigureerd met Cloud Tier:
Databeheer -> Bestandssysteem -> Cloud units -> Certificaten beheren -> Toevoegen.
Herhaal de bovenstaande stappen voor de resterende drie certificaten. - Voor Data Domain-systemen die worden uitgevoerd op Azure Platform met ATOS:
Data management -> Bestandssysteem -> Samenvatting -> Objectarchief wijzigen -> CERTIFICAAT -> Toevoegen.
Herhaal de bovenstaande stappen voor de resterende drie certificaten.Opmerking: Voeg geen nieuwe certificeringsinstantiecertificaten toe onder Toegangsbeheer.
- Voor Data Domain-systemen die zijn geconfigureerd met Cloud Tier:
OPTIE 2: Instructies voor het installeren van het certificaat met behulp van Linux workstation
-
Download de volgende twee DigiCert-certificaten in .pem-indeling.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1-vingerafdruk: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1-vingerafdruk: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Download de volgende twee basiscertificaten in DER CRT-indeling.
Microsoft RSA Root Certificate Authority 2017
(Duimafdruk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC Root Certificate Authority 2017
(Duimafdruk: 999a64c37ff47d9fab95f14769891460eec4c3c5)Voorbeeld:
Certificaten downloaden met het hulpprogramma Linux wget:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Converteer twee basiscertificaten naar .pem-indeling met behulp van de onderstaande opdrachten.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Kopieer .pem-certificaatbestanden op het Data Domain-systeem.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Installeer het certificaat als volgt:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Controleer de nieuwe certificaatinformatie via de DD DDVE-opdrachtregel:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Als een van de certificaten per ongeluk is toegevoegd voor een andere 'applicatie' dan 'cloud', verwijdert u het uit het certificaat van de certificeringsinstantie onder de gebruikersinterface van Access Management.
Opmerking: Verwijder het oude certificaat "Capsulee Cyber-Trust Root" niet.
Voor een Data Domain-systeem dat is geconfigureerd met een Cloud Tier-bestandssysteem, kan opnieuw opstarten nodig zijn om de verbinding met Cloud Units opnieuw tot stand te brengen. Regel downtime en voer de volgende opdracht uit om het bestandssysteem opnieuw op te starten:#filesys restart
Start DDVE opnieuw op voor Data Domain-systemen die worden uitgevoerd op Azure Platform:#system reboot
Article Properties
Affected Product
Data Domain, Integrated Data Protection Appliance Family
Last Published Date
16 Jan 2024
Version
6
Article Type
Solution