Article Number: 000192537
Домен даних: Як впоратися з майбутніми змінами сертифіката безпеки Microsoft Azure Storage Transport Layer для систем, налаштованих на рівні Cloud, або систем, розгорнутих на хмарній платформі Azure
Summary: Зміни сертифіката Transport Layer Security (TLS), що містяться в системах Data Domain, налаштованих за допомогою Cloud Tier і Data Domain Virtual Edition (DDVE), розгорнутих на хмарній платформі Azure з активним рівнем об'єктного сховища (ATOS). Dell EMC Data Domain рекомендує встановлювати нові сертифікати якомога швидше, щоб уникнути будь-яких збоїв. ...
Article Content
Symptoms
Якщо зміна сертифіката сховища Azure відбудеться (починаючи з липня 2022 року) до того, як нові сертифікати будуть додані як довірені для хмари, хмарний блок перейде в стан відключення для системи домену даних, налаштованої на рівень Cloud Tier в Azure.
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Якщо Data Domain Virtual Edition (DDVE) розгорнуто в Azure з активним рівнем об'єктного сховища (ATOS), файлова система вимикається з такими повідомленнями-попередженнями:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Служби Microsoft Azure Storage були оновлені для використання сертифікатів TLS від центрів сертифікації (CA), які підключаються до кореневого каталогу DigiCert Global G2. Тим не менш, поточні сертифікати (видані коренем Baltimore Cyber-Trust) продовжують використовуватися.
Ця зміна починається з липня 2022 року і, як очікується, буде завершена до кінця жовтня 2022 року. Рекомендуємо встановити новий сертифікат до 30 червня 2022 року та НЕ видаляти поточний сертифікат.
Для доступу до контейнерів BLOB-об'єктів (для Data Domain Cloud Tier або DDVE ATOS) системи Data Domain вимагають нового кореневого сертифіката ЦС DigiCert Global G2 замість поточного кореневого сертифіката ЦС Baltimore Cyber-Trust як довіреного для хмари.
Щоб дізнатися більше про цю тему, перегляньте наступну офіційну статтю Azure security Blob:Azure Storage TLS:
Критичні зміни вже майже тут! (... і чому вас це має хвилювати) - Microsoft Tech Community.
Resolution
Щоб зробити перехід на нові сертифікати безпеки Azure Storage максимально плавним, коли зміни почнуть впроваджуватися в липні 2022 року, необхідно зберегти довірений сертифікат «Baltimore Cyber-Trust root CA» як довірений для хмари в Data Domain, а також додати новий сертифікат «DigiCert Global G2 Root CA» також як довірений для хмари, замість того, щоб замінювати одне іншим.
Зберігання обох сертифікатів не викликає жодних проблем і дозволяє системі DDVE домену даних довіряти підключенням до сховища Azure незалежно від представленого сертифіката, виданого будь-яким із центрів сертифікації, і таким чином уникати будь-яких простоїв, оскільки новий сертифікат вперше представлено системі Data Domain/DDVE в якийсь момент, починаючи з липня 2022 року.
Наступні кроки застосовні для підтримки кореневого сертифіката DigiCert Global G2 для систем Data Domain, які налаштовані на Cloud Tier або DDVE, розгорнуті на платформі Azure Cloud з ATOS. Також рекомендується додати кореневий сертифікат DigiCert Global G3 і сертифікат Microsoft ECC або RSA Root Certificate Authority Certificate, щоб уникнути збоїв у майбутньому.
Переконайтеся, що система Data Domain DDVE має "Baltimore Cyber-Trust Root" для хмарних додатків, як показано в наступному прикладі:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
ВАРІАНТ 1: Інструкції з інсталяції сертифіката за допомогою робочої станції
Microsoft Windows Для демонстрації натисніть відео нижче:
Дивіться на YouTube.
-
Створіть папку на локальній робочій станції.
Наприклад:
C:\MS-AZ-сертифікати -
Завантажте сертифікати DigiCert Global Root G2/G3 з наступної сторінки:
Кореневі сертифікати DigiCert - Завантажити та протестувати | DigiCert.comКлацніть правою кнопкою миші на Download PEM і збережіть посилання як:
Відбиток пальця DigiCertGlobalRootG2.crt.pem
SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4Відбиток пальця DigiCertGlobalRootG3.crt.pem
SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Завантажте сертифікат Microsoft RSA та ECC.
Клацніть правою кнопкою миші на Download PEM і збережіть посилання як:
Центр кореневої сертифікації Microsoft RSA 2017
(Відбиток пальця: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Центр кореневої сертифікації Microsoft ECC 2017
(Відбиток пальця: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Перейдіть до командного рядка та виконайте наведені нижче дії. Вони запускаються з хоста Windows, однак подібні команди можуть виконуватися з хоста Linux.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Перейменуйте файли DigiCertGlobalRootG2 наступним чином за допомогою .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Перетворіть сертифікат центру кореневих сертифікатів Microsoft ECC RSA з crt у формат pem наступним чином:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Імпортуйте всі файли сертифікатів у форматі PEM із папки за допомогою інтерфейсу PowerProtect DD System Manager.
- Для системи домену даних, налаштованої за допомогою Cloud Tier:
Керування даними - Файлова система - Хмарні одиниці - Керування сертифікатами ->>>> Додати.
Повторіть описані вище кроки для решти трьох сертифікатів. - Для системи Data Domain, що працює на платформі Azure з ATOS:
Управління даними - Файлова система - Підсумок - Змінити сховище об'єктів - СЕРТИФІКАТ ->>>>> Додати.
Повторіть описані вище кроки для решти трьох сертифікатів.Примітка: Не додавайте нові сертифікати центру сертифікації в розділі Керування доступом.
- Для системи домену даних, налаштованої за допомогою Cloud Tier:
ВАРІАНТ 2: Інструкція по установці сертифіката за допомогою робочої станції Linux
-
Завантажте наступні два сертифікати DigiCert у форматі .pem.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Відбиток пальця SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Відбиток пальця SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Завантажте наступні два кореневі сертифікати у форматі DER CRT.
Центр кореневої сертифікації Microsoft RSA 2017
(Відбиток пальця: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Центр кореневої сертифікації Microsoft ECC 2017
(Відбиток пальця: 999a64c37ff47d9fab95f14769891460eec4c3c5)Приклад:
Завантаження сертифікатів за допомогою утиліти Linux wget:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Перетворіть два кореневі сертифікати у формат .pem за допомогою наведених нижче команд.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Скопіюйте файли сертифікатів .pem у системі Data Domain.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Встановіть сертифікат наступним чином:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Перевірте інформацію про новий сертифікат у командному рядку DD DDVE:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Якщо будь-який із сертифікатів було випадково додано для «Програми», відмінної від «хмари», видаліть його із сертифіката центру сертифікації в розділі «Інтерфейс керування доступом».
Примітка: Не видаляйте старий сертифікат "Baltimore Cyber-Trust Root".
Для системи Data Domain, налаштованої з файловою системою Cloud Tier, може знадобитися перезавантаження, щоб відновити з'єднання з хмарними одиницями. Організуйте перерву та виконайте наступну команду для перезапуску файлової системи:#filesys restart
Для системи Data Domain, що працює на платформі Azure, перезавантажте DDVE:#system reboot
Article Properties
Affected Product
Data Domain, Integrated Data Protection Appliance Family
Last Published Date
16 Jan 2024
Version
6
Article Type
Solution