Data Domain: Tulevat Microsoft Azure -tallennustilan siirtokerroksen suojausvarmenteen muutokset
Summary: TLS (Transport Layer Security) -varmenteen muutokset Data Domain -järjestelmissä, joihin on määritetty Cloud Tier ja DDVE (Data Domain Virtual Edition), jotka on otettu käyttöön Azure Cloud -alustalla ja joissa on käytössä ATOS (Active Tier on Object Storage). Dell Technologies suosittelee asentamaan uudet varmenteet mahdollisimman pian häiriöiden välttämiseksi. ...
Symptoms
Jos Azure Storage -varmenne muuttuu (heinäkuusta 2022 alkaen) ennen kuin uudet varmenteet lisätään pilvipalveluun luotetuiksi, pilviyksikkö siirtyy yhteydettömään tilaan Data Domain -järjestelmässä, jonka Cloud Tier on Azuressa:
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Jos DDVE otetaan käyttöön Azuressa Active Tier on Object Storage (ATOS) -toiminnon kanssa, tiedostojärjestelmä poistetaan käytöstä seuraavien hälytyssanomien vuoksi:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Microsoft Azure Storage -palvelut on päivitetty käyttämään varmenteiden myöntäjien (CA) TLS-varmenteita, jotka on ketjutettu DigiCert Global G2 -pääkansioon. Sillä välin nykyisiä varmenteita (Baltimore Cyber-Trust -juuren myöntämiä) käytetään kuitenkin edelleen.
Muutos astuu voimaan heinäkuussa 2022 ja sen odotetaan toteutuvan lokakuun 2022 loppuun mennessä. Uusi varmenne kannattaa asentaa ennen 30.6.2022. ÄLÄ poista nykyistä varmennetta.
Jotta voidaan käyttää Blob-säilöjä (joko Data Domain Cloud Tier tai DDVE ATOS) Data Domain -järjestelmissä tarvitaan uusi DigiCert Global G2 root CA -varmenne nykyisen Baltimore Cyber-Trust root CA -varmenteen luotetun varmenteen sijaan.
Lisätietoja aiheesta on seuraavassa virallisessa Azure-tietoturvablobissa:
Azure Storage TLS: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.
Resolution
Jotta siirtyminen uusiin Azure Storage -suojausvarmenteihin olisi mahdollisimman sujuvaa, kun muutoksia aletaan ajaa heinäkuussa 2022, on välttämätöntä säilyttää luotettu "Baltimore Cyber-Trust root CA" -varmenne luotettuna pilvessä Data Domainissa ja lisätä uusi "DigiCert Global G2 Root CA" -varmenne myös luotettuna pilveen, sen sijaan, että korvaisit ne toisilla.
Molempien varmenteiden säilyttäminen ei aiheuta ongelmia, ja Data Domain DDVE -järjestelmä voi luottaa yhteyksiin Azure-tallennustilaan riippumatta siitä, minkä varmenteen jompikumpi varmenteiden myöntäjistä esittää, jolloin vältetään käyttökatkokset, kun uusi varmenne esitetään Data Domain-/DDVE-järjestelmässä ensimmäisen kerran jossain vaiheessa heinäkuusta 2022 alkaen.
Seuraavat vaiheet koskevat DigiCert Global G2 -päävarmenteen tukemista Data Domain -järjestelmissä, joihin on määritetty joko Cloud Tier tai DDVE ja Azure Cloud -ympäristössä ATOS:n kanssa. Jatkossa häiriöiden välttämiseksi suosittelemme myös lisäämään DigiCert Global G3 -päävarmenteen ja Microsoft ECC- tai RSA-päävarmenteen myöntäjävarmenteen.
Varmista, että Data Domain DDVE -järjestelmässä on Baltimore Cyber-Trust -pääkäyttäjä pilvisovellusta varten seuraavan esimerkin mukaisesti:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
VAIHTOEHTO 1: Ohjeet varmenteen asentamiseen Microsoft Windows Workstation -käyttöjärjestelmällä
Katso esittely klikkaamalla alla olevaa videota:
Katso YouTubessa
-
Luo kansio paikalliselle työasemallesi.
Esimerkki:
C:\MS-AZ-varmenteet -
Ladata DigiCert Global Root G2/G3 -varmenteet seuraavalla sivulla:
DigiCert Root Certificates - Download & Test | DigiCert.comNapsauta hiiren kakkospainikkeella Lataa PEM ja tallenna linkki seuraavasti:
DigiCertGlobalRootG2.crt.pem
SHA1 -sormenjälki: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4DigiCertGlobalRootG3.crt.pem
SHA1 -sormenjälki: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Ladata Microsoft RSA- ja ECC-sertifikaatti.
Napsauta hiiren kakkospainikkeella Lataa PEM ja tallenna linkki seuraavasti:
Microsoft RSA:n päävarmenteen myöntäjä 2017
(Peukalonjälki: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC -päävarmenteen myöntäjä 2017
(Peukalonjälki: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Siirry komentoriville ja suorita alla olevat vaiheet. Nämä on suoritettava Windows-isännästä, mutta samankaltaisia komentoja voidaan suorittaa Linux-isännästä.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Nimetä uudelleen DigiCertGlobalRootG2-tiedostot seuraavasti verkkotunnuksella .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Muuntaa Microsoft ECC RSA Root Certificate Authority Certificate CRT-muodosta PEM-muotoon seuraavasti:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Tuo kaikki PEM-muotoillut varmennetiedostot kansiosta PowerProtect DD System Manager -käyttöliittymässä.
- Data Domain -järjestelmä, jossa on Cloud Tier -ominaisuus:
Tiedonhallinnan > tiedostojärjestelmä > Pilviyksiköt > Varmenteiden > hallinta Lisää.
Toista edellä mainitut vaiheet jäljellä oleville kolmelle varmenteelle. - Data Domain -järjestelmä, joka toimii Azure-alustalla, jossa on ATOS:
Data Management > File System > Summary > Muokkaa objektisäilöä > CERTIFICATE > Add.
Toista edellä mainitut vaiheet jäljellä oleville kolmelle varmenteelle.Huomautus: Älä lisää uusia varmenteiden myöntäjien varmenteita Access management -kohdassa.
- Data Domain -järjestelmä, jossa on Cloud Tier -ominaisuus:
VAIHTOEHTO 2: Ohjeet varmenteen asentamiseen Linux-työasemalla
-
Lataa seuraavat kaksi DigiCert-sertifikaattia .PEM-muodossa.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1-sormenjälki: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1-sormenjälki: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Lataa seuraavat kaksi päävarmennetta DER CRT -muodossa.
Microsoft RSA:n päävarmenteen myöntäjä 2017
(Peukalonjälki: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC -päävarmenteen myöntäjä 2017
(Peukalonjälki: 999a64c37ff47d9fab95f14769891460eec4c3c5)Esimerkki:
Varmenteiden lataaminen Linux wget -apuohjelmalla:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Muunna kaksi päävarmennetta .PEM-muotoon alla olevien komentojen avulla.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Kopioi .PEM-varmennetiedostot Data Domain -järjestelmään.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Asenna varmenne seuraavasti:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Tarkista uuden varmenteen tiedot DD DDVE -komentoriviltä:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Jos jokin varmenteista on vahingossa lisätty muuhun sovellukseen kuin pilveen, poista se varmenteen myöntäjän varmenteesta kohdassa Access Management UI.
Huomautus: Älä poista vanhaa Baltimore Cyber-Trust Root -varmennetta.
Jos Data Domain -järjestelmä on määritetty Cloud Tier -tiedostojärjestelmällä, se on ehkä käynnistettävä uudelleen, jotta yhteys pilviyksiköihin voidaan muodostaa uudelleen. Järjestä käyttökatko ja käynnistä tiedostojärjestelmä uudelleen seuraavalla komennolla:
#filesys restart
Jos Data Domain -järjestelmä toimii Azure-alustalla, käynnistä DDVE uudelleen:
#system reboot