Data Domain: Bevorstehende Änderungen des Microsoft Azure Storage Transport Layer Security-Zertifikats

Summary: TLS-Zertifikatsänderungen (Transport Layer Security) bei Data Domain-Systemen, die mit Cloud Tier und Data Domain Virtual Edition (DDVE) konfiguriert sind, die auf der Azure Cloud-Plattform mit Active Tier on Object Storage (ATOS) bereitgestellt werden. Dell Technologies empfiehlt, die neuen Zertifikate so bald wie möglich zu installieren, um Unterbrechungen zu vermeiden. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Sollte die Änderung des Azure-Storage-Zertifikats (ab Juli 2022) wirksam werden, bevor die neuen Zertifikate als vertrauenswürdig für die Cloud hinzugefügt werden, wechselt die Cloud-Einheit für ein Data Domain-System, das mit Cloud Tier in Azure konfiguriert ist, in den Verbindungsstatus „nicht verbunden“:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Wenn DDVE auf Azure mit aktivem Tier auf Objektspeicher (ATOS) bereitgestellt wird, wird das Dateisystem mit den folgenden Warnmeldungen deaktiviert:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Cause

Microsoft Azure Storage-Services wurden aktualisiert, um TLS-Zertifikate von Zertifizierungsstellen (Certificate Authorities, CAs) zu verwenden, die mit dem Stamm DigiCert Global G2 verkettet sind. In der Zwischenzeit werden jedoch weiterhin die aktuellen Zertifikate (ausgestellt von Baltimore Cyber-Trust root) verwendet.

Diese Änderung beginnt im Juli 2022 und wird voraussichtlich bis Ende Oktober 2022 abgeschlossen sein. Es wird empfohlen, vor dem 30. Juni 2022 ein neues Zertifikat zu installieren und das aktuelle Zertifikat NICHT zu löschen.

Für den Zugriff auf Blob-Container (für Data Domain Cloud Tier oder DDVE ATOS) benötigen Data Domain-Systeme das neue DigiCert Global G2-Root-CA-Zertifikat anstelle des aktuellen Baltimore Cyber-Trust-Root-CA-Zertifikats als vertrauenswürdig für die Cloud.

Weitere Informationen zu diesem Thema finden Sie im folgenden offiziellen Azure-Sicherheitsblob:
Azure Storage TLS: Wichtige Änderungen kommen bald! (... und warum das für Sie wichtig ist) – Microsoft Tech Community.Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies. 

Resolution

Um den Übergang zu den neuen Azure Storage-Sicherheitszertifikaten so reibungslos wie möglich zu gestalten, wenn die Änderungen im Juli 2022 in Kraft treten, ist es erforderlich, das vertrauenswürdige Zertifikat "Baltimore Cyber-Trust root CA" als vertrauenswürdig für die Cloud in Data Domain beizubehalten und das neue Zertifikat "DigiCert Global G2 Root CA" auch als vertrauenswürdig für die Cloud hinzuzufügen. anstatt das eine durch das andere zu ersetzen.

Die Beibehaltung beider Zertifikate ist problemlos und ermöglicht es dem Data Domain-DDVE-System, den Verbindungen zum Azure-Speicher zu vertrauen, unabhängig davon, welches Zertifikat von einer der Zertifizierungsstellen ausgestellt wird. So werden Ausfallzeiten vermieden, wenn das neue Zertifikat dem Data Domain-/DDVE-System zum ersten Mal ab Juli 2022 vorgelegt wird.

Die folgenden Schritte gelten für die Unterstützung des DigiCert Global G2-Stammzertifikats für Data Domain-Systeme, die entweder mit Cloud Tier oder DDVE konfiguriert sind, die auf der Azure Cloud-Plattform mit ATOS bereitgestellt werden. Es wird außerdem empfohlen, das DigiCert Global G3-Stammzertifikat und das Microsoft ECC- oder RSA-Stammzertifikatsstellenzertifikat hinzuzufügen, um zukünftige Unterbrechungen zu vermeiden.

Vergewissern Sie sich, dass das Data Domain DDVE-System über "Baltimore Cyber-Trust Root" für die Cloud-Anwendung verfügt, wie im folgenden Beispiel gezeigt:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPTION 1: Anweisungen zum Installieren des Zertifikats unter Verwendung von Microsoft Windows Workstation
Klicken Sie für eine Demo auf das folgende Video:

Auf YouTubeDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.ansehen.

  1. Erstellen Sie einen Ordner auf Ihrer lokalen Workstation.
    Zum Beispiel:
    C:\MS-AZ-certificates

  2. Herunterladen DigiCert Global Root G2/G3-Zertifikate von der folgenden Seite:
    DigiCert Stammzertifikate – Download und Test | DigiCert.comDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

    Klicken Sie mit der rechten Maustaste auf Download PEM und speichern Sie den Link unter:
    DigiCertGlobalRootG2.crt.pem
    SHA1-Fingerabdruck: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1-Fingerabdruck: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. Herunterladen Microsoft RSA- und ECC-Zertifikat.

    Klicken Sie mit der rechten Maustaste auf Download PEM und speichern Sie den Link unter:
    Microsoft RSA-Stammzertifizierungsstelle 2017Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
    (Fingerabdruck: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC-Stammzertifizierungsstelle 2017Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
    (Fingerabdruck: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. Navigieren Sie zur Befehlszeile und führen Sie die folgenden Schritte aus. Diese werden von einem Windows-Host aus ausgeführt, ähnliche Befehle können jedoch von einem Linux-Host ausgeführt werden.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

  1. Umbenennen DigiCertGlobalRootG2-Dateien werden wie folgt mit .pem eingereicht.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

  1. Umwandeln Microsoft ECC RSA-Stammzertifikatsstellenzertifikat vom crt- in pem-Format wie folgt:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

  1. Importieren Sie alle PEM-formatierten Zertifikatdateien mithilfe der PowerProtect DD System Manager-Benutzeroberfläche aus dem Ordner.

    • Für Data Domain-Systeme, die mit Cloud-Tier konfiguriert sind:
      Datenmanagement > Dateisystem > Cloud Units > Manage Certificates > Add.
      DataDomain-GUI zum Managen von Cloud-Zertifikaten
      Dialogfeld zum Hinzufügen eines CA-Zertifikats für Cloud-Anbieter
      Liste der CA-Zertifikate, die von DD for Cloud als vertrauenswürdig eingestuft werden
      Wiederholen Sie die obigen Schritte für die verbleibenden drei Zertifikate.
    • Für Data Domain-Systeme, die auf Azure Platform mit ATOS ausgeführt werden:
      Datenmanagement > Dateisystem > Zusammenfassung > Modify Object Store > CERTIFICATE > Add.
      In der DataDomain-GUI werden Azure Cloud CA-Zertifikate angezeigt
      Hinzufügen eines Microsoft Azure-CA-Zertifikats als vertrauenswürdig in DD für Cloud
      Wiederholen Sie die obigen Schritte für die verbleibenden drei Zertifikate.

       

      Hinweis: Fügen Sie keine neuen Zertifizierungsstellenzertifikate unter „Access management“ hinzu.

 

OPTION 2: Anweisungen zum Installieren des Zertifikats unter Verwendung einer Linux-Workstation

  1. Laden Sie die folgenden beiden DigiCert-Zertifikate im .pem-Format herunter.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1-Fingerabdruck: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1-Fingerabdruck: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. Laden Sie die folgenden beiden Root-Zertifikate im DER CRT-Format herunter.

    Microsoft RSA-Stammzertifizierungsstelle 2017
    (Fingerabdruck: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC-Stammzertifizierungsstelle 2017
    (Fingerabdruck: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    Beispiel:
    Herunterladen von Zertifikaten mithilfe des Linux Dienstprogramms wget:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

  1. Konvertieren Sie zwei Stammzertifikate mithilfe der folgenden Befehle in das .pem-Format.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

  1. Kopieren Sie .pem-Zertifikatdateien auf das Data Domain-System.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

  1. Installieren Sie das Zertifikat wie folgt:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

  1. Überprüfen Sie die neuen Zertifikatinformationen über die DD DDVE-Befehlszeile:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

  1. Wenn eines der Zertifikate versehentlich für eine andere "Anwendung" als "Cloud" hinzugefügt wurde, löschen Sie es aus dem Zertifikat der Zertifizierungsstelle unter der Benutzeroberfläche Zugriffsmanagement.
    DataDomain-GUI für den Umgang mit vertrauenswürdigen CA-Zertifikaten


    Hinweis: Löschen Sie nicht das alte Zertifikat "Baltimore Cyber-Trust Root".

 

Bei einem Data Domain-System, das mit einem Cloud-Tier-Dateisystem konfiguriert ist, ist möglicherweise ein Neustart erforderlich, um die Verbindung mit Cloudeinheiten wiederherzustellen. Bereiten Sie Ausfallzeiten vor und führen Sie den folgenden Befehl aus, um das Dateisystem neu zu starten:

#filesys restart

Starten Sie für Data Domain-Systeme, die auf Azure Platform ausgeführt werden, DDVE neu:

#system reboot

Affected Products

Data Domain Deduplication Storage Systems, DD OS, Integrated Data Protection Appliance Family
Article Properties
Article Number: 000192537
Article Type: Solution
Last Modified: 28 Aug 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.