「Data Domain:Microsoft Azure Storage Transport Layer Security 証明書の今後の変更
Summary: Transport Layer Security (TLS)証明書の変更は、クラウド階層およびData Domain Virtual Edition (DDVE)で構成されたData Domainシステムに影響を与えます。このDDVEは、Active Tier on Object Storage (ATOS)を使用してAzure Cloudプラットフォームに導入されたシステムです。デル・テクノロジーズでは、中断を回避するために、できるだけ早く新しい証明書をインストールすることをお勧めします。 ...
Symptoms
新しい証明書がクラウドで信頼済みとして追加される前にAzureストレージ証明書が変更された場合(2022年7月以降)、このクラウド ユニットはAzureのクラウド階層で構成されたData Domainシステムで切断状態になります。
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
DDVEがActive Tier on Object Storage (ATOS)を使用してAzureに導入されている場合、ファイル システムは無効になり、次のアラート メッセージが表示されます。
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Microsoft Azureストレージ サービスが、DigiCert Global G2ルートまでチェーン接続する認証局(CA)からのTLS証明書を使用するようにアップデートされました。ただし、その間は、現在の証明書(Baltimore Cyber-Trustルートによって発行されたもの)が引き続き使用されます
この変更は 2022 年 7 月から開始され、2022 年 10 月末までに完了する予定です。2022年6月30日より前に新しい証明書をインストールすることをお勧めします。現在の証明書を削除しないでください
Data Domainシステムでは、Blobコンテナ(Data Domain Cloud TierまたはDDVE ATOSのいずれか)にアクセスするために、クラウドで信頼されている現在のBaltimore Cyber-TrustルートCA証明書ではなく、新しいDigiCert Global G2ルートCA証明書が必要です
このトピックの詳細については、次の公式の Azure セキュリティ Blob:
Azure Storage TLS を参照してください。Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.」
Resolution
2022 年 7 月に変更のプッシュが開始されたときに、新しい Azure Storage セキュリティ証明書への移行をできるだけスムーズにするには、信頼できる "Baltimore Cyber-Trust ルート CA" 証明書を Data Domain でクラウドに対して信頼できるものとして維持し、新しい "DigiCert Global G2 ルート CA" 証明書をクラウドに対しても信頼済みとして追加する必要があります。 一方を他方に置き換えるのではなく
両方の証明書を保持しても問題は発生せず、Data Domain DDVEシステムは、いずれかのCAによって発行された証明書に関係なくAzure Storageへの接続を信頼できるため、2022年7月以降のある時点で新しい証明書がData Domain/DDVEシステムに初めて提示される際のダウンタイムを回避できます。
次の手順は、ATOSを使用してAzure Cloud Platformに導入されたクラウド階層またはDDVEで構成されたData Domainシステムで、DigiCert Global G2ルート証明書をサポートする場合に適用されます。また、将来のシステム停止を回避するために、DigiCert Global G3ルート証明書とMicrosoft ECCまたはRSAルート認証局証明書を追加することをお勧めします
次の例に従って、Data Domain DDVEシステムにクラウド アプリケーションの「Baltimore Cyber-Trust Root」があることを確認します。
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
オプション1:Microsoft Windowsワークステーションを使用して証明書をインストールする手順
デモについては、次のビデオをクリックしてください。
-
ローカル ワークステーションにフォルダーを作成します。
例:
C:\MS-AZ-certificates -
ダウンロード DigiCert Global Root G2/G3 証明書は、次のページから入手できます。
DigiCert Root Certificates - Download & Test | DigiCert.com[Download PEM]を右クリックして、次の名前でリンクを保存します。
DigiCertGlobalRootG2.crt.pem
SHA1フィンガープリント: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4DigiCertGlobalRootG3.crt.pem
SHA1フィンガープリント: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
ダウンロード Microsoft RSAおよびECC証明書。
[Download PEM]を右クリックして、次の名前でリンクを保存します。
Microsoft RSAルート認証局2017
(拇印: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECCルート認証局2017
(拇印: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
コマンド ラインに移動し、以下の手順 を実行します 。これらはWindowsホストから実行されますが、Linuxホストから同様のコマンドを実行できます。
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
改名する DigiCertGlobalRootG2 ファイルを次のように .pem で作成します。
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
コンバート crtからpemへのMicrosoft ECC RSAルート認証局証明書の形式は次のとおりです。
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
PowerProtect DD System Manager UIを使用して、フォルダーからすべてのPEM形式の証明書ファイルをインポートします。
- クラウド階層で構成されたData Domainシステムの場合:
Data Management > File System > Cloud Units > Manage Certificates > Add.
残りの 3 つの証明書について、上記の手順を繰り返します。 - ATOSを使用してAzureプラットフォームで実行されているData Domainシステムの場合:
Data Management > File System > Summary > Modify Object Store > CERTIFICATE > Add.
残りの 3 つの証明書について、上記の手順を繰り返します。注:[Access Management]の下に新しい認証局の証明書を追加しないでください。
- クラウド階層で構成されたData Domainシステムの場合:
オプション2:Linuxワークステーションを使用して証明書をインストールする手順
-
次の 2 つの DigiCert 証明書を .pem 形式でダウンロードします。
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
SHA1フィンガープリント: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
SHA1フィンガープリント: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
次の2つのルート証明書をDER CRT形式でダウンロードします。
Microsoft RSAルート認証局2017
(拇印: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECCルート認証局2017
(拇印: 999a64c37ff47d9fab95f14769891460eec4c3c5)Example:
Linux wgetユーティリティーを使用した証明書のダウンロード:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
次のコマンドを使用して、2つのルート証明書を.pem形式に変換します。
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Data Domainシステムに.pem証明書ファイルをコピーします。
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
次のように証明書をインストールします。
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
DD DDVEコマンド ラインから新しい証明書情報を確認します。
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
「クラウド」以外の「アプリケーション」に証明書が誤って追加された場合は、アクセス管理UIの認証局の証明書から削除します。
注:古い「Baltimore Cyber-Trust Root」証明書は削除しないでください。
クラウド階層ファイル システムで構成されたData Domainシステムでは、クラウド ユニットとの接続を再確立するために再起動が必要になる場合があります。ダウンタイムを調整し、次のコマンドを実行してファイル システムを再起動します。
#filesys restart
Azure Platformで実行されているData Domainシステムの場合は、DDVEを再起動します。
#system reboot