Article Number: 000192537
Data Domain. Как обрабатывать предстоящие изменения сертификата безопасности транспортного уровня Microsoft Azure Storage для систем, настроенных с помощью Cloud Tier или систем, развернутых на облачной платформе Azure
Summary: Изменения сертификата безопасности транспортного уровня (TLS), содержащиеся в затронутых системах Data Domain, которые настроены с помощью Cloud Tier и Data Domain Virtual Edition (DDVE), развернутых на платформе Azure Cloud с Active Tier on Object Storage (ATOS). Dell EMC Data Domain рекомендует установить новые сертификаты при первой возможности, чтобы избежать прерывания работы. ...
Article Content
Symptoms
В случае изменения сертификата хранилища Azure (начиная с июля 2022 г.) перед добавлением новых сертификатов в облако как доверенных, облачный модуль переходит в состояние отключения для системы Data Domain, которая настроена с Cloud Tier в Azure:
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Если Data Domain Virtual Edition (DDVE) развертывается в Azure с Active Tier в объектной системе хранения (ATOS), файловая система отключается со следующими оповещениями:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Службы хранения Microsoft Azure обновлены для использования сертификатов TLS от источников сертификатов (ИС), которые объединяются до корня DigiCert Global G2. Тем не менее, до этого времени продолжают использоваться текущие сертификаты (выдаемые корнем «Cyber-Trust» в Поле «Cyber-Trust»).
Это изменение начинается с июля 2022 года и должно быть завершено к конца октября 2022 года. Рекомендуется установить новый сертификат до 30 июня 2022 года и НЕ удалять текущий сертификат.
Для доступа к контейнерам Blob (для Data Domain Cloud Tier или DDVE ATOS) системам Data Domain требуется новый корневой сертификат ЦС DigiCert Global G2 вместо текущего корневого сертификата ЦС Cyber-Trust в качестве доверенного для облака.
Дополнительные сведения по этой теме см. в следующем официальном Blob-файле безопасности Azure:
Azure Storage TLS: Критические изменения уже близко! (…и почему они вас касаются) — сообщество Microsoft Tech.
Resolution
Чтобы сделать переход на новые сертификаты безопасности Azure Storage максимально плавным, когда изменения начнутся в июле 2022 года, необходимо сохранить доверенный сертификат корневого центра сертификации Cyber-Trust в качестве доверенного для облака в Data Domain, а также добавить новый сертификат DigiCert Global G2 Root CA как доверенный для облака, вместо замены одного из них другим.
Сохранение обоих сертификатов не приводит к проблеме и позволяет системе Data Domain DDVE доверять подключениям к Azure Storage независимо от сертификата, выдаемого одним из ЦС, поэтому во избежание простоев при первом представлении нового сертификата системе Data Domain/DDVE впервые с июля 2022 г.
Следующие действия применимы для поддержки корневого сертификата DigiCert Global G2 для систем Data Domain, настроенных с Помощью Cloud Tier или DDVE, развернутых на платформе Azure Cloud с ATOS. Также рекомендуется добавить корневой сертификат DigiCert Global G3 и сертификат корневого центра сертификации Microsoft ECC или RSA, чтобы избежать будущих прерываний работы.
Убедитесь, что в системе Data Domain DDVE имеется «Root Cyber-Trust Root» для облачного приложения в соответствии со следующим примером:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
ВАРИАНТ 1. Инструкции по установке сертификата с помощью рабочей станции Microsoft Windows
Для демонстрации нажмите на следующее видео:
Смотреть на YouTube.
-
Создайте папку на локальной рабочей станции.
Пример.
C:\MS-AZ-certificates -
Скачайте сертификаты DigiCert Global Root G2/G3 со следующей страницы:
Корневые сертификаты DigiCert — Скачивание и проверка | DigiCert.comНажмите правой кнопкой мыши Скачать PEM и сохраните ссылку как:
Отпечаток DIGICertGlootG2.crt.pem
SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4Отпечаток DigiCertGlootRootG3.crt.pem
SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Скачайте сертификаты Microsoft RSA и ECC.
Нажмите правой кнопкой мыши Скачать PEM и сохраните ссылку как:
Корневой центр сертификации Microsoft RSA 2017
(Отпечаток: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Центр корневого сертификата Microsoft ECC 2017
(Отпечаток: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Перейдите в командную строку и выполните следующие действия. Эти команды выполняются с хоста Windows, однако аналогичные команды могут выполняться с хоста Linux.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Переименуйте файлы DigiCertGlobalRootG2 как указано ниже, добавив .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Преобразуйте сертификат источника сертификатов Microsoft ECC RSA Root из crt в формат pem следующим образом:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Импортируйте из папки все файлы сертификатов, отформатированные PEM, с помощью пользовательского интерфейса PowerProtect DD System Manager.
- Для системы Data Domain, настроенной с Cloud Tier:
Управление данными —> файловая система —> облачные устройства —> управление сертификатами —> добавить.
Повторите описанные выше шаги для оставшихся трех сертификатов. - Для системы Data Domain, работающей на платформе Azure с ATOS:
Управление данными —> файловая система —> сводка —> изменение хранилища объектов —> CERTIFICATE -> Добавить.
Повторите описанные выше шаги для оставшихся трех сертификатов.Примечание.: Не добавляйте новые сертификаты источника сертификатов в разделе «Access management».
- Для системы Data Domain, настроенной с Cloud Tier:
ВАРИАНТ 2. Инструкции по установке сертификата с помощью рабочей станции Linux
-
Скачайте следующие два сертификата DigiCert в формате .pem.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Отпечаток SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Отпечаток SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Скачайте следующие два корневых сертификата в формате DER CRT.
Корневой центр сертификации Microsoft RSA 2017
(Отпечаток: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Центр корневого сертификата Microsoft ECC 2017
(Отпечаток: 999a64c37ff47d9fab95f14769891460eec4c3c5)Пример.
Скачивание сертификатов с помощью утилиты Linux wget:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Преобразуйте два корневых сертификата в формат .pem с помощью команд, приведенных ниже.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Скопируйте файлы сертификатов .pem в системе Data Domain.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Установите сертификат следующим образом:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Проверьте информацию о новом сертификате в командной строке DD DDVE:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Если какой-либо из сертификатов был случайно добавлен для «Приложения», отличного от «cloud», удалите его из сертификата центра сертификации в пользовательском интерфейсе управления доступом.
Примечание.: Не удаляйте старый сертификат «Cyber-Trust Root».
Для системы Data Domain, настроенной с файловой системой Cloud Tier, может потребоваться перезапуск для восстановления подключения к облачным устройствам. Организуйте время простоя и выполните следующую команду для перезапуска файловой системы:#filesys restart
Для системы Data Domain, работающей на платформе Azure, перезагрузите DDVE:#system reboot
Article Properties
Affected Product
Data Domain, Integrated Data Protection Appliance Family
Last Published Date
16 Jan 2024
Version
6
Article Type
Solution