Data Domain : Modifications à venir du certificat Microsoft Azure Storage Transport Layer Security

Si le changement de certificat Azure Storage intervient (à compter de juillet 2022) avant l’ajout des nouveaux certificats en tant que certificats de confiance pour le Cloud, l’unité Cloud passe à l’état de déconnexion dans le cas d’un système Data Domain configuré avec Cloud Tier dans Azure :

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Si DDVE est déployé sur Azure avec Active Tier on Object Storage (ATOS), le système de fichiers est désactivé avec les messages d’alerte suivants :

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Les services de stockage Microsoft Azure ont été mis à jour pour utiliser les certificats TLS provenant des autorités de certification qui se connectent à la racine DigiCert Global G2. Cependant, dans l’intervalle, les certificats actuels (émis par la racine Baltimore Cyber-Trust) continuent d’être utilisés.

Ce changement débutera en juillet 2022 et devrait s’achever d’ici la fin du mois d’octobre 2022. Il est recommandé d’installer un nouveau certificat avant le 30 juin 2022 et de NE PAS supprimer le certificat actuel.

Pour accéder aux conteneurs Blob (que ce soit pour Data Domain Cloud Tier ou DDVE ATOS), les systèmes Data Domain nécessitent le nouveau certificat d’autorité de certification racine DigiCert Global G2 au lieu du certificat d’autorité de certification racine Baltimore Cyber-Trust actuel, tel qu’il est de confiance pour le Cloud.

Pour plus d’informations sur le sujet, consultez le blob de sécurité Azure officiel suivant :
Stockage Azure TLS : Critical changes are almost here! (…and why you should care) - Microsoft Tech Community. 

Pour que la transition vers les nouveaux certificats de sécurité Azure Storage soit aussi fluide que possible lorsque les modifications commenceront à être poussées en juillet 2022, il est nécessaire de conserver le certificat de confiance « Baltimore Cyber-Trust root CA » comme approuvé pour le cloud dans Data Domain, et d’ajouter le nouveau certificat « DigiCert Global G2 Root CA » également comme fiable pour le cloud. plutôt que de remplacer l’un par l’autre.

La conservation des deux certificats n’entraîne aucun problème et permet au système Data Domain DDVE de faire confiance aux connexions au stockage Azure, quel que soit le certificat présenté émis par l’une des autorités de certification, ce qui évite toute interruption de service lorsque le nouveau certificat est présenté pour la première fois au système Data Domain/DDVE à partir de juillet 2022.

Les étapes suivantes s’appliquent à la prise en charge du certificat racine DigiCert Global G2 pour les systèmes Data Domain configurés avec Cloud Tier ou DDVE déployés sur Azure Cloud Platform avec ATOS. Il est également recommandé d’ajouter le certificat racine DigiCert Global G3 et le certificat Microsoft ECC ou RSA Root Certificate Authority pour éviter de futures interruptions.

Confirmez que le système Data Domain DDVE dispose d’une « Baltimore Cyber-Trust Root » pour l’application Cloud comme dans l’exemple suivant :

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPTION 1 : Instructions d’installation du certificat à l’aide d’une station de
travail Microsoft Windows Pour une démo, cliquez sur la vidéo ci-dessous :

Regarder sur YouTube.

1. Créez un dossier sur votre station de travail locale.
   Par exemple :
   C:\MS-AZ-certificates

2. Télécharger Certificats DigiCert Global Root G2/G3 à partir de la page suivante :
   DigiCert Root Certificates - Download & Test | DigiCert.com

   Cliquez avec le bouton droit de la souris sur Télécharger PEM et enregistrez le lien sous :
   DigiCertGlobalRootG2.crt.pem
   SHA1 Fingerprint : DF :3C :24 :F9 :BF :D6:66:76:1B :26:80:73 :FE :06 :D1 :CC :8D :4F :82 :A4

   DigiCertGlobalRootG3.crt.pem
   SHA1 Fingerprint : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Télécharger Certificat Microsoft RSA et ECC.

   Cliquez avec le bouton droit de la souris sur Télécharger PEM et enregistrez le lien sous :
   Microsoft RSA Root Certificate Authority 2017
   (Empreinte digitale : 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Microsoft ECC Root Certificate Authority 2017
   (Empreinte digitale : 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Accédez à la ligne de commande et exécutez les étapes ci-dessous. Ces commandes doivent être exécutées à partir d’un hôte Windows, mais des commandes similaires peuvent être utilisées à partir d’un hôte Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Renommer DigiCertGlobalRootG2 comme suit avec .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Convertir Certificat de l’autorité de certification racine Microsoft ECC RSA du format CRT au format PEM comme suit :

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Importez tous les fichiers de certificat au format PEM à partir du dossier à l’aide de l’interface utilisateur de PowerProtect DD System Manager.

   • Pour un système Data Domain configuré avec Cloud Tier :
     Data Management > File System > Cloud Units > Manage Certificates > Add.
     
     
     
     Répétez les étapes ci-dessus pour les trois autres certificats.
   • Pour un système Data Domain exécuté sur la plate-forme Azure avec ATOS :
     Data Management > File System > Summary > Modify Object Store > CERTIFICATE > Add.
     
     
     Répétez les étapes ci-dessus pour les trois autres certificats.

      

     Remarque : n’ajoutez pas de nouveaux certificats d’autorité de certification sous Access Management.

OPTION 2 : Instructions d’installation du certificat à l’aide d’une station de travail Linux

1. Téléchargez les deux certificats DigiCert suivants au format .pem.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Empreinte SHA1 : DF :3C :24 :F9 :BF :D6:66:76:1B :26:80:73 :FE :06 :D1 :CC :8D :4F :82 :A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Empreinte SHA1 : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Téléchargez les deux certificats racine suivants au format DER CRT.

   Microsoft RSA Root Certificate Authority 2017
   (Empreinte digitale : 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Microsoft ECC Root Certificate Authority 2017
   (Empreinte digitale : 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Exemple :
   Téléchargement de certificats à l’aide de l’utilitaire Linux wget :

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Convertissez deux certificats racine au format .pem à l’aide des commandes ci-dessous.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Copiez les fichiers de certificat .pem sur le système Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Pour installer le certificat, procédez comme suit :

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Vérifiez les informations du nouveau certificat à partir de la ligne de commande DD DDVE :

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Si l’un des certificats a été ajouté par erreur pour une « application » autre que « Cloud », supprimez-le du certificat d’autorité de certification sous l’interface utilisateur Access Management.
   

   
   Remarque : Ne supprimez pas l’ancien certificat « Baltimore Cyber-Trust Root ».

Pour un système Data Domain configuré avec un système de fichiers Cloud Tier, un redémarrage peut être nécessaire pour rétablir la connexion avec les unités Cloud. Organisez une interruption de service et exécutez la commande suivante pour redémarrer le système de fichiers :

#filesys restart

Pour un système Data Domain exécuté sur la plate-forme Azure, redémarrez DDVE :

#system reboot