Data Domain. Предстоящие изменения в сертификате безопасности транспортного уровня хранилища Microsoft Azure

В случае изменения сертификата хранилища Azure (начиная с июля 2022 г.) перед добавлением новых сертификатов в облако как доверенных, облачный модуль переходит в состояние отключения для системы Data Domain, которая настроена с Cloud Tier в Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Если DDVE развернут в Azure с активным уровнем в объектном хранилище (ATOS), файловая система отключается со следующими оповещениями:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Службы хранения Microsoft Azure обновлены для использования сертификатов TLS от источников сертификатов (ИС), которые объединяются до корня DigiCert Global G2. Тем не менее, текущие сертификаты (выданные корнем Baltimore Cyber-Trust) продолжают использоваться.

Это изменение вступает в силу с июля 2022 года и должно быть завершено к концу октября 2022 года. Рекомендуется установить новый сертификат до 30 июня 2022 г. и НЕ удалять текущий сертификат.

Для доступа к контейнерам BLOB-объектов (для Data Domain Cloud Tier или DDVE ATOS) системам Data Domain требуется новый сертификат корневого источника сертификатов DigiCert Global G2 вместо текущего сертификата корневого источника сертификатов Baltimore Cyber-Trust в качестве доверенного для облака.

Дополнительные сведения по этой теме см. в следующем официальном BLOB-объекте безопасности Azure:
Azure Storage TLS: Критические изменения уже близко! (…и почему они вас касаются) — сообщество Microsoft Tech. 

Чтобы переход на новые сертификаты безопасности службы хранилища Azure был как можно более плавным, когда изменения начнут внедряться в июле 2022 г., необходимо сохранить доверенный сертификат «Baltimore Cyber-Trust root CA» как доверенный для облака в Data Domain, а новый сертификат «DigiCert Global G2 Root CA» также добавить как доверенный для облака. а не заменять одно другим.

Сохранение обоих сертификатов не вызывает проблем и позволяет системе Data Domain DDVE доверять подключениям к службе хранилища Azure независимо от представленного сертификата, выданного одним из центров сертификации, что позволяет избежать простоев, так как новый сертификат впервые представляется системе Data Domain/DDVE в какой-то момент, начиная с июля 2022 г.

Следующие действия применимы для поддержки корневого сертификата DigiCert Global G2 для систем Data Domain, настроенных с Cloud Tier или DDVE, развернутыми на облачной платформе Azure с ATOS. Во избежание прерываний работы в будущем также рекомендуется добавить глобальный корневой сертификат DigiCert G3 и сертификат корневого центра сертификации Microsoft ECC или RSA.

Убедитесь, что система Data Domain DDVE имеет «Baltimore Cyber-Trust Root» для облачного приложения, как показано в следующем примере:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

ВАРИАНТ 1. Инструкции по установке сертификата с помощью рабочей станции
Microsoft Windows Для демонстрации нажмите на видео ниже:

Смотрите на ютубе.

1. Создайте папку на локальной рабочей станции.
   Пример.
   C:\MS-AZ-certificates

2. Загружать Сертификаты DigiCert Global Root G2/G3 со следующей страницы:
   Корневые сертификаты DigiCert — Скачивание и проверка | DigiCert.com

   Нажмите правой кнопкой мыши Download PEM и сохраните ссылку как:
   Отпечаток SHA1 DigiCertGlobalRootG2.crt.pem
   : DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   Отпечаток SHA1 DigiCertGlobalRootG3.crt.pem
   : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Загружать Сертификат Microsoft RSA и ECC.

   Нажмите правой кнопкой мыши Download PEM и сохраните ссылку как:
   Корневой центр сертификации Microsoft RSA 2017
   (Отпечаток: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Корневой центр сертификации Microsoft ECC 2017
   (Отпечаток: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Перейдите в командную строку и выполните следующие действия. Эти команды выполняются с хоста Windows, однако аналогичные команды могут выполняться с хоста Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Переименовать DigiCertGlobalRootG2 следующим образом с .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Обращать Сертификат корневого центра сертификации Microsoft ECC RSA из crt в формат pem следующим образом:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Импортируйте все файлы сертификатов в формате PEM из папки с помощью пользовательского интерфейса PowerProtect DD System Manager.

   • Для системы Data Domain с настроенным Cloud Tier:
     Управление > данными Файловая система Облачные > модули > Управление сертификатами > Доп.
     
     
     
     Повторите описанные выше действия для оставшихся трех сертификатов.
   • Для системы Data Domain, работающей на платформе Azure с ATOS:
     > Управление данными Сводка > по файловой системе > Изменить хранилище > объектов СЕРТИФИКАТ > Добавить.
     
     
     Повторите описанные выше действия для оставшихся трех сертификатов.

      

     Примечание. Не добавляйте новые сертификаты источника сертификатов в разделе «Access management».

ВАРИАНТ 2. Инструкции по установке сертификата с помощью рабочей станции Linux

1. Скачайте следующие два сертификата DigiCert в формате PEM.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Отпечаток SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Отпечаток SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Скачайте два следующих корневых сертификата в формате DER CRT.

   Корневой центр сертификации Microsoft RSA 2017
   (Отпечаток: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Корневой центр сертификации Microsoft ECC 2017
   (Отпечаток: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Пример.
   Скачивание сертификатов с помощью утилиты Linux wget:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Преобразуйте два корневых сертификата в формат .pem с помощью следующих команд.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Скопируйте файлы сертификатов .pem в систему Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Установите сертификат следующим образом:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Проверьте информацию о новом сертификате в командной строке DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Если какой-либо из сертификатов был случайно добавлен для приложения, отличного от облака, удалите его из сертификата источника сертификатов в пользовательском интерфейсе управления доступом.
   

   
   Примечание. Не удаляйте старый сертификат «Baltimore Cyber-Trust Root».

Для системы Data Domain, в которой настроена файловая система Cloud Tier, может потребоваться перезапуск для восстановления подключения к облачным модулям. Организуйте время простоя и выполните следующую команду для перезапуска файловой системы:

#filesys restart

Для системы Data Domain, работающей на платформе Azure, перезагрузите DDVE:

#system reboot