Data Domain: 예정된 Microsoft Azure Storage 전송 계층 보안 인증서 변경

Summary: TLS(Transport Layer Security) 인증서 변경 사항이 ATOS(Active Tier on Object Storage)를 통해 Azure 클라우드 플랫폼에 구축된 DDVE(Data Domain Virtual Edition)와 클라우드 계층으로 구성된 Data Domain 시스템에 영향을 미칩니다. Dell Technologies는 중단을 방지하기 위해 가능한 한 빨리 새 인증서를 설치할 것을 권장합니다. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

새 인증서가 클라우드에 대해 신뢰할 수 있는 것으로 추가되기 전에 Azure 스토리지 인증서가 변경된 경우(2022년 7월 시작) 클라우드 유닛이 Azure의 클라우드 계층으로 구성된 Data Domain 시스템에 대한 연결 해제 상태가 됩니다.

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

DDVE가 ATOS(Active Tier on Object Storage)를 사용하여 Azure에 배포된 경우 파일 시스템이 비활성화되고 다음 알림 메시지가 표시됩니다.

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Cause

DigiCert Global G2 루트까지 연결된 CA(Certificate Authorities)의 TLS 인증서를 사용하도록 Microsoft Azure Storage Services가 업데이트되었습니다. 그러나 그 동안에는 현재 인증서(Baltimore Cyber-Trust 루트에서 발급)가 계속 사용됩니다.

이 변경은 2022년 7월부터 시작되며 2022년 10월 말까지 완료될 것으로 예상됩니다. 2022년 6월 30일 이전에 새 인증서를 설치하고 현재 인증서를 삭제하지 않는 것이 좋습니다.

Blob 컨테이너(Data Domain Cloud Tier 또는 DDVE ATOS용)에 액세스하려면 Data Domain 시스템에 클라우드에 대해 신뢰할 수 있는 현재 Baltimore Cyber-Trust 루트 CA 인증서 대신 새 DigiCert Global G2 루트 CA 인증서가 필요합니다.

항목에 대한 자세한 내용은 공식 Azure 보안 Blob:
Azure Storage TLS를 참조하세요. 중요한 변경 사항은 대부분 여기에서 확인할 수 있습니다! (…관심을 기울여야 하는 이유) - Microsoft 기술 커뮤니티.이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 

Resolution

2022년 7월에 변경 사항이 푸시되기 시작할 때 새 Azure Storage 보안 인증서로 가능한 한 원활하게 전환하려면 Data Domain에서 클라우드에 대해 신뢰할 수 있는 "Baltimore Cyber-Trust 루트 CA" 인증서를 유지하고 새 "DigiCert Global G2 Root CA" 인증서를 클라우드에 대해 신뢰할 수 있는 인증서로 추가해야 합니다. 하나를 다른 것으로 대체하는 것보다는.

두 인증서를 모두 유지해도 문제가 발생하지 않으며 CA 중 하나에서 발급한 인증서를 제시하는 것과 관계없이 Data Domain DDVE 시스템이 Azure Storage에 대한 연결을 신뢰할 수 있으므로 2022년 7월부터 새 인증서가 Data Domain/DDVE 시스템에 처음으로 제공되므로 다운타임을 방지할 수 있습니다.

다음 단계는 ATOS를 사용하여 Azure 클라우드 플랫폼에 배포된 클라우드 계층 또는 DDVE로 구성된 Data Domain 시스템에 대한 DigiCert Global G2 루트 인증서를 지원하는 데 적용됩니다. 또한 향후 중단을 방지하기 위해 DigiCert Global G3 루트 인증서와 Microsoft ECC 또는 RSA 루트 인증 기관 인증서를 추가하는 것이 좋습니다.

다음 예와 같이 Data Domain DDVE 시스템에 클라우드 애플리케이션에 대한 "Baltimore Cyber-Trust Root"가 있는지 확인합니다.

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

옵션 1: Microsoft Windows 워크스테이션
을 사용하여 인증서를 설치하기 위한 지침 데모를 보려면 아래 비디오를 클릭하십시오.

YouTube이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.에서 보기 .

  1. 로컬 워크스테이션에 폴더를 생성합니다.
    예:
    C:\MS-AZ-certificates

  2. 다운로드 DigiCert Global Root G2/G3 인증서를 참조하십시오.
    DigiCert 루트 인증서 - 다운로드 및 테스트 | DigiCert.com이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

    PEM 다운로드를 마우스 오른쪽 버튼으로 클릭하고 링크를 다른 이름으로 저장합니다.
    DigiCertGlobalRootG2.crt.pem
    SHA1 지문: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1 지문: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. 다운로드 Microsoft RSA 및 ECC 인증서

    PEM 다운로드를 마우스 오른쪽 버튼으로 클릭하고 링크를 다른 이름으로 저장합니다.
    Microsoft RSA 루트 인증 기관 2017이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.
    (지문: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC 루트 인증 기관 2017이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.
    (지문: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. 명령줄로 이동하여 아래 단계를 실행합니다 . 이러한 명령은 Windows 호스트에서 실행되지만 Linux 호스트에서도 비슷한 명령을 실행할 수 있습니다.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

  1. 이름 바꾸기 DigiCertGlobalRootG2 파일을 .pem과 같이 표시합니다.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

  1. 변환 CRT에서 PEM 형식으로 Microsoft ECC RSA 루트 인증 기관 인증서를 다음과 같이 보냅니다.

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

  1. PowerProtect DD System Manager UI를 사용하여 폴더에서 PEM 형식의 모든 인증서 파일을 가져옵니다.

    • Cloud Tier로 구성된 Data Domain 시스템의 경우:
      데이터 관리 > 파일 시스템 > 클라우드 유닛 > 관리인증서 > 추가를 클릭합니다.
      클라우드 인증서를 관리하기 위한 DataDomain GUI
      클라우드 공급업체용 CA 인증서 추가 대화 상자
      DD for Cloud에서 신뢰할 수 있는 CA 인증서 목록
      나머지 3개의 인증서에 대해 위의 단계를 반복합니다.
    • Atos를 사용하는 Azure 플랫폼에서 실행되는 Data Domain 시스템의 경우:
      Data ManagementFile > SystemSummaryModifyObject > StoreCERTIFICATEADD >>> 를 클릭합니다.
      Azure Cloud CA 인증서를 보여 주는 DataDomain GUI
      DD for Cloud에서 신뢰할 수 있는 Microsoft Azure CA 인증서 추가
      나머지 3개의 인증서에 대해 위의 단계를 반복합니다.

       

      참고: 액세스 관리 아래에 새 인증 기관 인증서를 추가하지 마십시오.

 

옵션 2: Linux 워크스테이션을 사용하여 인증서를 설치하기 위한 지침

  1. 다음 두 DigiCert 인증서를 .pem 형식으로 다운로드합니다.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1 지문: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1 지문: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. DER CRT 형식의 다음 두 루트 인증서를 다운로드합니다.

    Microsoft RSA 루트 인증 기관 2017
    (지문: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC 루트 인증 기관 2017
    (지문: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    예:
    Linux wget 유틸리티를 사용하여 인증서 다운로드:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

  1. 아래 명령을 사용하여 두 개의 루트 인증서를 .pem 형식으로 변환합니다.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

  1. Data Domain 시스템에서 .pem 인증서 파일을 복사합니다.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

  1. 다음과 같이 인증서를 설치합니다.

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

  1. DD DDVE 명령줄에서 새 인증서 정보를 확인합니다.

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

  1. 인증서가 실수로 "클라우드"가 아닌 "애플리케이션"에 추가된 경우 Access Management UI의 인증 기관 인증서에서 해당 인증서를 삭제합니다.
    신뢰할 수 있는 CA 인증서를 처리하기 위한 DataDomain GUI


    참고: 이전 "Baltimore Cyber-Trust Root" 인증서를 삭제하지 마십시오.

 

Cloud Tier 파일 시스템으로 구성된 Data Domain 시스템의 경우 클라우드 유닛과의 연결을 다시 설정하려면 시스템을 재시작해야 할 수 있습니다. 다운타임을 준비하고 다음 명령을 실행하여 파일 시스템을 재시작합니다.

#filesys restart

Azure 플랫폼에서 실행 중인 Data Domain 시스템의 경우 DDVE를 재부팅합니다.

#system reboot

Affected Products

Data Domain Deduplication Storage Systems, DD OS, Integrated Data Protection Appliance Family
Article Properties
Article Number: 000192537
Article Type: Solution
Last Modified: 28 Aug 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.