Data Domain: Bulut Katmanı veya Azure bulut platformunda dağıtılan sistemler ile yapılandırılmış sistemler için yaklaşan Microsoft Azure Storage Transport Layer Security sertifika değişikliklerini ele alma

Azure Depolama sertifikası değişikliği (Temmuz 2022'den başlayarak), yeni sertifikalar bulut için güvenilir olarak eklenmeden önce gerçekleşirse bulut birimi, Azure'da Bulut Katmanı ile yapılandırılmış bir Data Domain sistemi için bağlantısı kesilmiş durumuna geçer:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Data Domain Virtual Edition (DDVE), Nesne Depolamada Etkin Katman (ATOS) ile Azure'a dağıtılırsa, dosya sistemi aşağıdaki uyarı mesajlarıyla devre dışı bırakılır:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Microsoft Azure Depolama hizmetleri, Sertifika Yetkililerinin (CA'lar) DigiCert Global G2 köküne kadar zincirleme olarak bağlanan TLS sertifikalarını kullanmak üzere güncelleştirildi. Ancak bu sırada geçerli sertifikalar (Cyber-Trust kökü tarafından verilmiştir) kullanılıyor.

Bu değişikliğin Temmuz 2022'den başlayarak Ekim 2022'nin sonuna kadar tamamlanması bekleniyor. 30 Haziran 2022'den önce yeni bir sertifika yüklemenizi ve mevcut sertifikayı SILMEYİN.

Data Domain sistemleri, Blob kapsayıcılara (Data Domain Cloud Katmanı veya DDVE ATOS için) erişmek için bulut için güvenilir olan geçerli Cyber-Trust kök CA sertifikası yerine yeni CioCert Global G2 kök CA sertifikası gerektirir.

Konu hakkında daha fazla bilgi için aşağıdaki resmi Azure güvenlik Blob'una bakın:
Azure Storage TLS: Kritik değişiklikler neredeyse burada! (... ve neden ilgilenmelisiniz) - Microsoft Teknik Topluluğu.

Değişiklikler Temmuz 2022'de gönderildiğinde yeni Azure Storage güvenlik sertifikalarını mümkün olduğunca sorunsuz hale geçirmek için güvenilir "Cyber-Trust kök CA" sertifikasını Data Domain'de bulut için güvenilir olarak tutmanız ve yeni "1Cert Global G2 Kök CA" sertifikasını bulut için güvenilir olarak eklemeniz gerekir. yerine başka bir ürünle değiştirin.

Her iki sertifikayı da tutmak sorun oluşturmaz ve Data Domain DDVE sisteminin, CA'lardan herhangi biri tarafından verilen sertifikadan bağımsız olarak Azure Depolama bağlantılarına güvenerek yeni sertifika, Temmuz 2022'den başlayarak Data Domain/DDVE sistemi için ilk kez sunulduklarından kesintilerden kaçınmasını sağlar.

Aşağıdaki adımlar, ATOS ile Azure Cloud platformunda dağıtılan Bulut Katmanı veya DDVE ile yapılandırılmış Data Domain sistemleri için CioCert Global G2 kök sertifikasını desteklemek için geçerlidir. Gelecekte meydana gelecek kesintileri önlemek için 1Cert Global G3 kök sertifikası ve Microsoft ECC veya RSA Kök Sertifika Yetkilisi Sertifikası eklemeniz de önerilir.

Data Domain DDVE sisteminin bulut uygulaması için aşağıdaki örnekteki gibi "Cyber-Trust Root" olduğunu doğrulayın:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

1. SEÇENEK: Demo İçin Microsoft Windows iş istasyonu kullanarak
Sertifika yükleme talimatları, aşağıdaki videoya tıklayın:

YouTube'da izleyin.

1. Yerel iş istasyonunuzun üzerinde bir klasör oluşturun.
   Örneğin:
   C:\MS-AZ-certificates

2. Aşağıdaki sayfadan DigiCert Global Root G2/G3 sertifikalarını indirin:
   DigiCert Root Certificates - Download & Test | DigiCert.com (DigiCert Kök Sertifikaları - İndirme ve Test Etme | DigiCert.com)

   Download PEM (PEM'i İndir) öğesine sağ tıklayın ve bağlantıyı şu şekilde kaydedin:
   1CertGlobalRootG2.crt.pem
   SHA1 Parmak İzi: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   1CertGlobalRootG3.crt.pem
   SHA1 Parmak İzi: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Microsoft RSA ve ECC sertifikasını indirin.

   Download PEM (PEM'i İndir) öğesine sağ tıklayın ve bağlantıyı şu şekilde kaydedin:
   Microsoft RSA Kök Sertifika Yetkilisi 2017
   (Parmak izi: 73a5e64a3bff8316ff0edccc618a906e4ea4d74)

   Microsoft ECC Kök Sertifikası Yetkilisi 2017
   (Parmak izi: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Komut satırına gidin ve aşağıdaki adımları çalıştırın. Bunlar bir Windows ana bilgisayardan çalıştırılmaktadır ancak benzer komutlar bir Linux ana bilgisayarından çalıştırılabilir.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. DigiCertGlobalRootG2 dosyalarını .pem ile aşağıdaki gibi yeniden adlandırın.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Microsoft ECC RSA Kök Sertifika Yetkilisi Sertifikasını crt'den pem biçimine aşağıdaki gibi dönüştürün:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. PowerProtect DD System Manager kullanıcı arabirimini kullanarak PEM biçimli tüm sertifika dosyalarını klasörden içe aktarın.

   • Bulut Katmanı ile yapılandırılan Data Domain sistemi için:
     Veri Yönetimi -> Dosya Sistemi -> Bulut Birimleri -> Sertifikaları Yönetme -> Ekleme.
     
     
     
     Kalan üç sertifika için Yukarıdaki adımları tekrarlayın.
   • ATOS ile Azure Platformunda çalışan Data Domain sistemi için:
     Veri Yönetimi -> Dosya Sistemi -> Özet -> Nesne Depolarını Değiştir - CERTIFICATE ->> Add.
     
     
     Kalan üç sertifika için Yukarıdaki adımları tekrarlayın.

      

     Not: Erişim yönetimi altına yeni Sertifika Yetkilisi sertifikaları eklemeyin.

2. SEÇENEK: Linux iş istasyonu kullanarak Sertifika yükleme talimatları

1. Aşağıdaki iki DigiCert Sertifikasını .pem biçiminde indirebilirsiniz.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1 Parmak İzi: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1 Parmak İzi: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Aşağıdaki iki Kök Sertifikayı indir: DER CRT biçimindedir.

   Microsoft RSA Kök Sertifika Yetkilisi 2017
   (Parmak izi: 73a5e64a3bff8316ff0edccc618a906e4ea4d74)

    

   Microsoft ECC Kök Sertifikası Yetkilisi 2017
   (Parmak izi: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Örnek:
   Linux wget yardımcı programını kullanarak sertifikalar indirme:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Aşağıdaki komutları kullanarak iki Kök Sertifikayı .pem biçimine dönüştürün.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Data Domain sistemindeki .pem sertifika dosyalarını kopyalama.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Sertifikayı aşağıdaki gibi yükle:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. DD DDVE komut satırından yeni sertifika bilgilerini kontrol edin:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Sertifikalardan herhangi birini yanlışlıkla "bulut" dışındaki bir "Uygulama" için eklediyseniz Access Management kullanıcı arayüzü altındaki Sertifika Yetkilisi sertifikasından silin.
   

   Not: Eski "Cyber-Trust Root" sertifikasını silme.

Bulut Katmanı dosya sistemiyle yapılandırılmış bir Data Domain sistemi için, Bulut Birimleriyle yeniden bağlantı kurmak için yeniden başlatma gerekebilir. Kesinti süresi ayarlayın ve dosya sistemini yeniden başlatmak için aşağıdaki komutu çalıştırın:
#filesys restart

Azure Platformda çalışan Data Domain sistemi için DDVE'yi yeniden başlatın:
#system reboot