Data Domain: Aankomende wijzigingen in het beveiligingscertificaat voor Microsoft Azure Storage Transport Layer

Summary: De TLS-certificaatwijzigingen (Transport Layer Security) die zijn opgenomen, zijn van invloed op Data Domain-systemen die zijn geconfigureerd met Cloud Tier en Data Domain Virtual Edition (DDVE) die zijn geïmplementeerd op Azure Cloud Platform met Active Tier on Object Storage (ATOS). Dell Technologies raadt u aan de nieuwe certificaten zo snel mogelijk te installeren om onderbrekingen te voorkomen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Als de Azure Storage-certificaatwijziging plaatsvindt (vanaf juli 2022) voordat de nieuwe certificaten worden toegevoegd als vertrouwd voor cloud, schakelt de cloudeenheid in een verbroken status voor een Data Domain-systeem dat is geconfigureerd met Cloud Tier in Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Als DDVE wordt geïmplementeerd op Azure met Active Tier on Object Storage (ATOS), wordt het bestandssysteem uitgeschakeld met de volgende waarschuwingsberichten:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Cause

Microsoft Azure Storage-services zijn bijgewerkt om TLS-certificaten van certificeringsinstanties (CA's) te gebruiken die verbonden zijn met de DigiCert Global G2-root. In de tussentijd worden de huidige certificaten (uitgegeven door de Baltimore Cyber-Trust root) echter nog steeds gebruikt.

Deze wijziging gaat in vanaf juli 2022 en zal naar verwachting eind oktober 2022 voltooid zijn. Het wordt aanbevolen om vóór 30 juni 2022 een nieuw certificaat te installeren en het huidige certificaat NIET te verwijderen.

Voor toegang tot Blob-containers (voor Data Domain Cloud Tier of DDVE ATOS) hebben Data Domain-systemen het nieuwe DigiCert Global G2-basis-CA-certificaat nodig in plaats van het huidige Baltimore Cyber-Trust-basis-CA-certificaat zoals vertrouwd voor de cloud.

Zie voor meer informatie over het onderwerp de volgende officiële Azure-beveiligingsblob:
Azure Storage TLS: Kritieke veranderingen zijn bijna hier! (… en waarom het u iets kan schelen) - Microsoft Tech Community.Deze hyperlink leidt u naar een website buiten Dell Technologies. 

Resolution

Om de overgang naar de nieuwe Azure Storage-beveiligingscertificaten zo soepel mogelijk te laten verlopen wanneer de wijzigingen in juli 2022 worden doorgevoerd, is het noodzakelijk om het vertrouwde certificaat "Baltimore Cyber-Trust root CA" te behouden als vertrouwd voor de cloud in Data Domain en het nieuwe certificaat "DigiCert Global G2 Root CA" ook toe te voegen als vertrouwd voor de cloud, in plaats van de een door de ander te vervangen.

Het behouden van beide certificaten levert geen problemen op en stelt het Data Domain DDVE-systeem in staat om de verbindingen met Azure Storage te vertrouwen, ongeacht het certificaat dat wordt uitgegeven door een van de CA's, waardoor downtime wordt vermeden wanneer het nieuwe certificaat vanaf juli 2022 voor het eerst aan het Data Domain/DDVE-systeem wordt aangeboden.

De volgende stappen zijn van toepassing ter ondersteuning van het DigiCert Global G2-basiscertificaat voor Data Domain-systemen die zijn geconfigureerd met Cloud Tier of DDVE geïmplementeerd op Azure Cloud Platform met ATOS. Het wordt ook aanbevolen om het DigiCert Global G3-basiscertificaat en het Microsoft ECC- of RSA-basiscertificaatautoriteitscertificaat toe te voegen om toekomstige onderbrekingen te voorkomen.

Bevestig dat het Data Domain DDVE-systeem "Baltimore Cyber-Trust Root" heeft voor cloudapplicatie volgens het volgende voorbeeld:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPTIE 1: Instructies voor het installeren van Certificate met Microsoft Windows Workstation
Klik op de onderstaande video voor een demo:

Kijk op YouTubeDeze hyperlink leidt u naar een website buiten Dell Technologies..

  1. Maak een map aan op uw lokale workstation.
    Bijvoorbeeld:
    C:\MS-AZ-certificates

  2. Downloaden DigiCert Global Root G2/G3-certificaten op de volgende pagina:
    DigiCert Root Certificates - Download & Test | DigiCert.comDeze hyperlink leidt u naar een website buiten Dell Technologies.

    Klik met de rechtermuisknop op PEM downloaden en sla de koppeling op als:
    DigiCertGlobalRootG2.crt.pem
    SHA1 Fingerprint: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1 Fingerprint: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. Downloaden Microsoft RSA- en ECC-certificaat.

    Klik met de rechtermuisknop op PEM downloaden en sla de koppeling op als:
    Microsoft RSA-basiscertificaatautoriteit 2017Deze hyperlink leidt u naar een website buiten Dell Technologies.
    (Vingerafdruk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC Root Certificate Authority 2017Deze hyperlink leidt u naar een website buiten Dell Technologies.
    (Vingerafdruk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. Ga naar de opdrachtregel en voer de onderstaande stappen uit. Deze moeten worden uitgevoerd vanaf een Windows-host, maar vergelijkbare opdrachten kunnen ook vanaf een Linux-host worden uitgevoerd.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

  1. Herdopen DigiCertGlobalRootG2-bestanden als volgt met .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

  1. Omzetten Microsoft ECC RSA Root Certificate Authority Certificate van CRT naar PEM-indeling als volgt:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

  1. Importeer alle PEM-geformatteerde certificaatbestanden uit de map met behulp van de PowerProtect DD System Manager UI.

    • Voor Data Domain-systemen geconfigureerd met Cloud Tier:
      Databeheer > , bestandssysteem, > cloudeenheden, > certificaten > , toevoegen.
      DataDomain GUI voor het beheren van cloudcertificaten
      Dialoogvenster voor het toevoegen van een CA-certificaat voor cloudprovider
      Lijst met CA-certificaten die worden vertrouwd door de DD for Cloud
      Herhaal de bovenstaande stappen voor de resterende drie certificaten.
    • Voor Data Domain-systemen die worden uitgevoerd op Azure-platform met ATOS:
      Data Management > File System > Summary > Modify Object Store > CERTIFICATE > Add.
      DataDomain GUI met Azure Cloud CA-certificaten
      Microsoft Azure CA-certificaat toevoegen zoals vertrouwd in de DD for Cloud
      Herhaal de bovenstaande stappen voor de resterende drie certificaten.

       

      Opmerking: Voeg geen nieuwe certificaten van certificeringsinstanties toe onder Toegangsbeheer.

 

OPTIE 2: Instructies voor het installeren van Certificate met Linux Workstation

  1. Download de volgende twee DigiCert-certificaten in .pem-indeling.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1-vingerafdruk: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1-vingerafdruk: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. Download de volgende twee basiscertificaten in DER CRT-indeling.

    Microsoft RSA-basiscertificaatautoriteit 2017
    (Vingerafdruk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC Root Certificate Authority 2017
    (Vingerafdruk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    Voorbeeld:
    Downloading certificates using Linux wget utility:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

  1. Converteer twee basiscertificaten naar .pem-indeling met behulp van de onderstaande opdrachten.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

  1. Kopieer .pem-certificaatbestanden naar het Data Domain-systeem.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

  1. Installeer het certificaat als volgt:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

  1. Controleer de nieuwe certificaatinformatie via de DD DDVE-opdrachtregel:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

  1. Als een van de certificaten per ongeluk is toegevoegd voor een andere applicatie dan "cloud", verwijdert u deze uit het certificaat van de certificeringsinstantie onder de gebruikersinterface voor toegangsbeheer.
    DataDomain GUI voor het verwerken van vertrouwde CA-certificaten


    Opmerking: Verwijder het oude "Baltimore Cyber-Trust Root"-certificaat niet.

 

Voor een Data Domain-systeem dat is geconfigureerd met een Cloud Tier-bestandssysteem, moet mogelijk opnieuw worden opgestart om de verbinding met Cloud Units opnieuw tot stand te brengen. Regel downtime en voer de volgende opdracht uit om het bestandssysteem opnieuw op te starten:

#filesys restart

Start DDVE opnieuw op voor een Data Domain-systeem dat wordt uitgevoerd op Azure Platform:

#system reboot

Affected Products

Data Domain Deduplication Storage Systems, DD OS, Integrated Data Protection Appliance Family
Article Properties
Article Number: 000192537
Article Type: Solution
Last Modified: 28 Aug 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.