Data Domain: Próximos cambios en el certificado de seguridad de capa de transporte de almacenamiento de Microsoft Azure

Si se produjera el cambio en el certificado de Azure Storage (a partir de julio de 2022) antes de que los nuevos certificados se agreguen como de confianza para la nube, la unidad de nube entra en un estado de desconexión para un sistema Data Domain configurado con nivel Clout Tier en Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Si DDVE se implementa en Azure con Active Tier en Object Storage (ATOS), el sistema de archivos se deshabilita con los siguientes mensajes de alerta:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Los servicios de almacenamiento de Microsoft Azure se actualizaron para utilizar certificados TLS de autoridades de certificación (CA) que se encadenan hasta la raíz Global G2 de DigiCert. Sin embargo, mientras tanto, se siguen utilizando los certificados actuales (emitidos por la raíz de Baltimore Cyber-Trust).

Este cambio comenzará en julio de 2022 y se espera que se complete a fines de octubre de 2022. Se recomienda instalar un nuevo certificado antes del 30 de junio de 2022 y NO eliminar el certificado actual.

Para acceder a los contenedores de blobs (para Data Domain Cloud Tier o DDVE ATOS), los sistemas Data Domain requieren el nuevo certificado de CA raíz G2 de DigiCert Global en lugar del actual certificado de CA raíz de Baltimore Cyber-Trust como de confianza para la nube.

Para obtener más información sobre el tema, consulte el siguiente blob de seguridad oficial de Azure:
Azure Storage TLS: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community. 

Para que la transición a los nuevos certificados de seguridad de Azure Storage sea lo más fluida posible cuando los cambios comiencen a implementarse en julio de 2022, es necesario mantener el certificado de confianza "Baltimore Cyber-Trust root CA" como de confianza para la nube en Data Domain y agregar el nuevo certificado "DigiCert Global G2 Root CA" también como de confianza para la nube. en lugar de reemplazar uno por otro.

Conservar ambos certificados no supone ningún problema y permite que el sistema DDVE de Data Domain confíe en las conexiones a Azure Storage, independientemente del certificado que presente emitido por cualquiera de las CA, lo que evita cualquier tiempo de inactividad a medida que el nuevo certificado se presenta al sistema Data Domain/DDVE por primera vez en algún momento a partir de julio de 2022.

Los siguientes pasos se aplican para admitir el certificado raíz DigiCert Global G2 para sistemas Data Domain configurados con Cloud Tier o DDVE implementado en la plataforma Azure Cloud con ATOS. También se recomienda agregar el certificado raíz G3 global de DigiCert y el certificado de autoridad de certificación raíz ECC o RSA de Microsoft para evitar interrupciones futuras.

Confirme que el sistema Data Domain DDVE tenga "Baltimore Cyber-Trust Root" para la aplicación en la nube, según el siguiente ejemplo:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPTION 1: Instrucciones para instalar el certificado mediante la estación
de trabajo de Microsoft Windows Para ver una demostración, haga clic en el siguiente video:

Míralo en YouTube.

1. Cree una carpeta en su estación de trabajo local.
   Por ejemplo:
   C:\MS-AZ-certificates

2. Descargar Certificados DigiCert Global Root G2/G3 de la siguiente página:
   DigiCert Root Certificates - Download & Test | DigiCert.com

   Haga clic con el botón secundario en Descargar PEM y guarde el enlace como:
   Huella digital SHA1 de DigiCertGlobalRootG2.crt.pem
   : DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   Huella digital SHA1 de DigiCertGlobalRootG3.crt.pem
   : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Descargar Certificado de Microsoft RSA y ECC.

   Haga clic con el botón secundario en Descargar PEM y guarde el enlace como:
   Microsoft RSA Root Certificate Authority 2017
   (Huella digital: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Autoridad de certificación raíz de Microsoft ECC 2017
   (Huella digital: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Vaya a la línea de comandos y ejecute los pasos que se indican a continuación. Estos se deben ejecutar desde un host de Windows; sin embargo, se pueden ejecutar comandos similares desde un host de Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Rebautizar DigiCertGlobalRootG2 de la siguiente manera con .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Convertir Certificado de autoridad de certificación raíz de RSA de Microsoft ECC de crt a pem en formato de la siguiente manera:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Importe todos los archivos de certificado con formato PEM desde la carpeta mediante la interfaz de usuario de PowerProtect DD System Manager.

   • Para el sistema Data Domain configurado con Cloud Tier:
     Administración de > datos, sistema de archivos, > administración de certificados > , administración de certificados, administración de datos, administración de certificados, administración de > datos,
     
     
     
     Repita los pasos anteriores para los tres certificados restantes.
   • Para el sistema Data Domain que se ejecuta en la plataforma Azure con ATOS:
     Administración de datos Sistema > de archivos Resumen > Modificar almacén > de > objetos CERTIFICADO > Agregar.
     
     
     Repita los pasos anteriores para los tres certificados restantes.

      

     Nota: No agregue nuevos certificados de autoridad de certificación en Access Management.

OPTION 2: Instrucciones para instalar el certificado mediante una estación de trabajo Linux

1. Descargue los dos certificados DigiCert siguientes en formato .pem.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Huella dactilar SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Huella dactilar SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Descargue los siguientes dos certificados raíz en formato DER CRT.

   Microsoft RSA Root Certificate Authority 2017
   (Huella digital: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Autoridad de certificación raíz de Microsoft ECC 2017
   (Huella digital: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Ejemplo:
   Descarga de certificados mediante la utilidad wget de Linux:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Convierta dos certificados raíz en formato .pem mediante los siguientes comandos.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Copie los archivos de certificado .pem en el sistema Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Instale el certificado de la siguiente manera:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Compruebe la información del nuevo certificado en la línea de comandos de DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Si alguno de los certificados se agregó accidentalmente para una "Aplicación" que no sea "nube", elimínelo del certificado de la autoridad de certificación en la interfaz de usuario de administración de acceso.
   

   
   Nota: No elimine el certificado "Baltimore Cyber-Trust Root" antiguo.

Para un sistema Data Domain configurado con un sistema de archivos Cloud Tier, es posible que se requiera un reinicio para restablecer la conexión con las unidades de nube. Tome previsiones para el tiempo de inactividad y ejecute el siguiente comando para reiniciar el sistema de archivos:

#filesys restart

Para el sistema Data Domain que se ejecuta en la plataforma Azure, reinicie DDVE:

#system reboot