Data Domain: Kommende sertifikatendringer for sikkerhetssertifikatet for Microsoft Azure-lagringstransportlaget

Summary: Sertifikatendringene for Transport Layer Security (TLS) i datadomenesystemer som er konfigurert med Cloud Tier og Data Domain Virtual Edition (DDVE) distribuert på Azure Cloud-plattformen med Active Tier on Object Storage (ATOS). Dell Technologies anbefaler at du installerer de nye sertifikatene så snart som mulig for å unngå avbrudd. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Hvis Azure Storage-sertifikatendringen skjer (starter i juli 2022) før de nye sertifikatene legges til som klarert for skyen, går skyenheten inn i en frakoblet tilstand for et Data Domain-system som er konfigurert med Cloud Tier i Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Hvis DDVE distribueres på Azure med Active Tier on Object Storage (ATOS), deaktiveres filsystemet med følgende varslingsmeldinger:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Cause

Microsoft Azure Storage-tjenester ble oppdatert til å bruke TLS-sertifikater fra sertifiseringsinstanser (CA-er) som er koblet til DigiCert Global G2-roten. I mellomtiden fortsetter imidlertid de nåværende sertifikatene (utstedt av Baltimore Cyber-Trust-roten) å bli brukt.

Denne endringen starter fra juli 2022 og forventes å være fullført innen utgangen av oktober 2022. Det anbefales å installere et nytt sertifikat før 30. juni 2022 og IKKE slette gjeldende sertifikat.

For å få tilgang til Blob-beholdere (enten for Data Domain Cloud Tier eller DDVE ATOS), krever Data Domain-systemer det nye DigiCert Global G2 root CA-sertifikatet i stedet for det gjeldende Baltimore Cyber-Trust rot-CA-sertifikatet som klarert for skyen.

Hvis du vil ha mer informasjon om emnet, kan du se følgende offisielle Azure-sikkerhet Blob:
Azure Storage TLS: Kritiske endringer er nesten her! (… og hvorfor du bør bry deg) - Microsoft Tech Community.Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. 

Resolution

For å gjøre overgangen til de nye Azure Storage-sikkerhetssertifikatene så smidig som mulig når endringene begynner å bli presset i juli 2022, er det nødvendig å beholde det pålitelige "Baltimore Cyber-Trust root CA"-sertifikatet som klarert for skyen i Data Domain, og legge til det nye "DigiCert Global G2 Root CA"-sertifikatet også som klarert for skyen. i stedet for å erstatte det ene med det andre.

Å beholde begge sertifikatene medfører ingen problemer og lar Data Domain DDVE-systemet stole på tilkoblingene til Azure Storage uansett sertifikatet som presenteres utstedt av en av sertifiseringsinstansene, og dermed unngå nedetid når det nye sertifikatet presenteres for Data Domain/DDVE-systemet for første gang fra og med juli 2022.

Følgende trinn gjelder for å støtte DigiCert Global G2-rotsertifikat for Data Domain-systemer som er konfigurert enten med nettskynivå eller DDVE distribuert på Azure Cloud-plattformen med ATOS. Det anbefales også å legge til DigiCert Global G3-rotsertifikat og Microsoft ECC- eller RSA-rotsertifikatmyndighetssertifikat for å unngå fremtidige avbrudd.

Bekreft at Data Domain DDVE-systemet har "Baltimore Cyber-Trust Root" for nettskyapplikasjon i følgende eksempel:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

ALTERNATIV 1: Instruksjoner for å installere sertifikat ved hjelp av Microsoft Windows arbeidsstasjon
For en demo, klikk på videoen nedenfor:

Se på YouTubeDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies..

  1. Opprett en mappe på din lokale arbeidsstasjon.
    Eksempel:
    C:\MS-AZ-sertifikater

  2. Laste ned DigiCert Global Root G2/G3-sertifikater fra følgende side:
    DigiCert rotsertifikater - Last ned og test | DigiCert.comDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

    Høyreklikk Last ned PEM og lagre lenken som:
    DigiCertGlobalRootG2.crt.pem
    SHA1 Fingerprint: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1 Fingerprint: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. Laste ned Microsoft RSA- og ECC-sertifikat.

    Høyreklikk Last ned PEM og lagre lenken som:
    Microsoft RSA-rotsertifiseringsinstans 2017Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.
    (Avtrykk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC rotsertifiseringsinstans 2017Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.
    (Avtrykk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. Gå til kommandolinjen og kjør trinnene nedenfor. Disse skal kjøres fra en Windows-vert, men lignende kommandoer kan kjøre fra en Linux-vert.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

  1. Gi nytt navn DigiCertGlobalRootG2-filer som følger med .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

  1. Konvertere Sertifikat for Microsoft ECC RSA-rotsertifiseringsinstans fra CRT- til PEM-format som følger:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

  1. Importer alle PEM-formaterte sertifikatfiler fra mappen ved hjelp av brukergrensesnittet for PowerProtect DD System Manager.

    • For Data Domain-system konfigurert med Cloud Tier:
      Data Management > File System > Cloud Units > Manage sertifikater > Legg til.
      DataDomain-GUI for å administrere skysertifikater
      Dialogboks for å legge til CA-sertifikat for skyleverandør
      Liste over CA-sertifikater klarert av DD for Cloud
      Gjenta trinnene ovenfor for de resterende tre sertifikatene.
    • For Data Domain-systemer som kjører på Azure-plattformen med ATOS:
      Databehandling > Filsystemsammendrag >> Endre objektlager > SERTIFIKAT > Legg til.
      DataDomain-grensesnitt som viser CA-sertifikater for Azure Cloud
      Legge til et Microsoft Azure CA-sertifikat som klarert i DD for Cloud
      Gjenta trinnene ovenfor for de resterende tre sertifikatene.

       

      Merk: Ikke legg til nye sertifiseringsinstanssertifikater under Tilgangsstyring.

 

ALTERNATIV 2: Instruksjoner for å installere sertifikat ved hjelp av Linux arbeidsstasjon

  1. Last ned følgende to DigiCert-sertifikater i .pem-format.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1 Fingeravtrykk: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1 Fingeravtrykk: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. Last ned følgende to rotsertifikater er i DER CRT-format.

    Microsoft RSA-rotsertifiseringsinstans 2017
    (Avtrykk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC rotsertifiseringsinstans 2017
    (Avtrykk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    Eksempel:
    Laste ned sertifikater ved hjelp av Linux wget verktøyet:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

  1. Konverter to rotsertifikater til .pem-format ved hjelp av kommandoene nedenfor.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

  1. Kopier .pem-sertifikatfiler på Data Domain-systemet.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

  1. Installer sertifikatet på følgende måte:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

  1. Kontroller den nye sertifikatinformasjonen fra kommandolinjen for DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

  1. Hvis noen av sertifikatene ved et uhell ble lagt til for et annet program enn skyen, sletter du det fra sertifiseringsinstanssertifikatet under brukergrensesnittet for tilgangsstyring.
    DataDomain-GUI for håndtering av klarerte CA-sertifikater


    Merk: Ikke slett det gamle "Baltimore Cyber-Trust Root"-sertifikatet.

 

For et Data Domain-system som er konfigurert med et Cloud Tier-filsystem, kan det være nødvendig å starte på nytt for å gjenopprette tilkoblingen til Cloud Units. Avtal nedetid, og kjør følgende kommando for å starte filsystemet på nytt:

#filesys restart

Start DDVE på nytt for Data Domain-systemer som kjører på Azure-plattformen:

#system reboot

Affected Products

Data Domain Deduplication Storage Systems, DD OS, Integrated Data Protection Appliance Family
Article Properties
Article Number: 000192537
Article Type: Solution
Last Modified: 28 Aug 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.