Data Domain: Kommande ändringar av säkerhetscertifikatet för Microsoft Azure Storage Transport Layer

Summary: Ändringarna i TLS-certifikatet (Transport Layer Security) som finns i påverkar Data Domain-system som är konfigurerade med Cloud Tier och Data Domain Virtual Edition (DDVE) distribuerade på Azure Cloud-plattformen med Active Tier on Object Storage (ATOS). Dell Technologies rekommenderar att du installerar de nya certifikaten så snart som möjligt för att undvika störningar. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Om ändringen av Azure Storage-certifikatet sker (från och med juli 2022) innan de nya certifikaten läggs till som betrodda för molnet, försätts molnenheten i ett frånkopplat tillstånd för ett Data Domain-system som är konfigurerat med Cloud Tier i Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Om DDVE distribueras i Azure med Active Tier on Object Storage (ATOS) inaktiveras filsystemet med följande aviseringsmeddelanden:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Cause

Microsoft Azure Storage-tjänster har uppdaterats för att använda TLS-certifikat från certifikatutfärdare (CA) som kedjar upp till DigiCert Global G2-roten. Under tiden fortsätter dock de aktuella certifikaten (utfärdade av Baltimore Cyber-Trust-roten) att användas.

Denna förändring börjar i juli 2022 och förväntas vara slutförd i slutet av oktober 2022. Vi rekommenderar att du installerar ett nytt certifikat före den 30 juni 2022 och att du INTE tar bort det nuvarande certifikatet.

För att få åtkomst till blobcontainrar (för antingen Data Domain Cloud Tier eller DDVE ATOS) kräver Data Domain-system det nya DigiCert Global G2-rotcertifikatutfärdarcertifikatet i stället för det aktuella Baltimore Cyber-Trust-rotcertifikatutfärdarcertifikatet som betrott för molnet.

Mer information om ämnet finns i följande officiella Azure-säkerhetsblob:
Azure Storage TLS: Kritiska förändringar är nästan här! (… och varför du ska bry dig) - Microsoft Tech Community.Den här hyperlänken tar dig till en webbplats utanför Dell Technologies. 

Resolution

För att göra övergången till de nya Azure Storage-säkerhetscertifikaten så smidig som möjligt när ändringarna börjar push-överföras i juli 2022 är det nödvändigt att behålla det betrodda "Baltimore Cyber-Trust root CA"-certifikatet som betrott för molnet i Data Domain och lägga till det nya "DigiCert Global G2 Root CA"-certifikatet även som betrott för molnet, snarare än att ersätta det ena med det andra.

Att behålla båda certifikaten medför inga problem och gör att Data Domain DDVE-systemet kan lita på anslutningarna till Azure Storage oavsett vilket certifikat som presenteras utfärdat av någon av certifikatutfärdarna, och på så sätt undvika driftstopp när det nya certifikatet presenteras för Data Domain/DDVE-systemet för första gången någon gång från och med juli 2022.

Följande steg gäller för att stödja DigiCert Global G2-rotcertifikat för Data Domain-system som har konfigurerats antingen med Cloud Tier eller DDVE distribuerat på Azure Cloud-plattformen med ATOS. Vi rekommenderar också att du lägger till DigiCert Global G3-rotcertifikat och Microsoft ECC- eller RSA-rotcertifikatutfärdarcertifikat för att undvika framtida störningar.

Bekräfta att Data Domain DDVE-systemet har "Baltimore Cyber-Trust Root" för molnprogram enligt följande exempel:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

ALTERNATIVET 1: Instruktioner för att installera certifikat med Microsoft Windows-arbetsstation
För en demo, klicka på videon nedan:

Titta på YouTubeDen här hyperlänken tar dig till en webbplats utanför Dell Technologies..

  1. Skapa en mapp på din lokala arbetsstation.
    Till exempel:
    C:\MS-AZ-certifikat

  2. Ladda ned DigiCert Global Root G2/G3-certifikat från följande sida:
    DigiCert rotcertifikat - Ladda ner och testa | DigiCert.comDen här hyperlänken tar dig till en webbplats utanför Dell Technologies.

    Högerklicka på Ladda ned PEM och spara länken som:
    DigiCertGlobalRootG2.crt.pem
    SHA1-fingeravtryck: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1-fingeravtryck: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. Ladda ned Microsoft RSA- och ECC-certifikat.

    Högerklicka på Ladda ned PEM och spara länken som:
    Microsoft RSA-rotcertifikatutfärdare 2017Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
    (Tumavtryck: 73A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74)

    Microsoft ECC-rotcertifikatutfärdare 2017Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.
    (Tumavtryck: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. Gå till kommandoraden och kör stegen nedan. Dessa ska köras från en Windows-värd, men liknande kommandon kan köras från en Linux-värd.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

  1. Byt namn DigiCertGlobalRootG2-filer enligt följande med .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

  1. Konvertera Microsoft ECC RSA Root Certificate Authority Certificate Certificate från crt till pem-format enligt följande:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

  1. Importera alla PEM-formaterade certifikatfiler från mappen med hjälp av PowerProtect DD System Manager-användargränssnittet.

    • För Data Domain-system konfigurerade med Cloud Tier:
      Datahantering > , filsystem > , molnenheter > , hantera certifikat > , lägga till.
      DataDomain GUI för hantering av molncertifikat
      Dialogruta för att lägga till CA-certifikat för molnleverantör
      Lista över CA-certifikat som är betrodda av DD för molnet
      Upprepa stegen ovan för de återstående tre certifikaten.
    • För Data Domain-system som körs på Azure-plattformen med ATOS:
      Sammanfattning av > datahanteringsfilsystem >> Ändra objektlagring > CERTIFIKAT > Lägg till.
      DataDomain GUI som visar Azure Cloud CA-certifikat
      Lägga till Microsoft Azure CA-certifikat som betrott i DD för molnet
      Upprepa stegen ovan för de återstående tre certifikaten.

       

      Obs! Lägg inte till nya certifikat för certifikatutfärdare under Åtkomsthantering.

 

ALTERNATIVET 2: Instruktioner för att installera certifikat med Linux-arbetsstation

  1. Ladda ner följande två DigiCert-certifikat i .pem-format.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1-fingeravtryck: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1-fingeravtryck: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. Ladda ner följande två rotcertifikat är i DER CRT-format.

    Microsoft RSA-rotcertifikatutfärdare 2017
    (Tumavtryck: 73A5E64A3BFF8316FF0EDCCC618A906E4EAE4D74)

    Microsoft ECC-rotcertifikatutfärdare 2017
    (Tumavtryck: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    Exempel:
    Ladda ned certifikat med Linux wget-verktyget:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

  1. Konvertera två rotcertifikat till .pem-format med hjälp av kommandona nedan.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

  1. Kopiera .pem-certifikatfiler i Data Domain-systemet.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

  1. Installera certifikatet på följande sätt:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

  1. Kontrollera den nya certifikatinformationen från DD DDVE-kommandoraden:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

  1. Om något av certifikaten av misstag har lagts till för ett annat "program" än "moln" tar du bort det från certifikatutfärdarcertifikatet under användargränssnittet för åtkomsthantering.
    DataDomain GUI för hantering av betrodda CA-certifikat


    Obs! Ta inte bort det gamla certifikatet "Baltimore Cyber-Trust Root".

 

För ett Data Domain-system som är konfigurerat med ett Cloud Tier-filsystem kan en omstart krävas för att återupprätta anslutningen till Cloud Units. Ordna med driftavbrott och kör följande kommando för att starta om filsystemet:

#filesys restart

För Data Domain-system som körs på Azure-plattformen startar du om DDVE:

#system reboot

Affected Products

Data Domain Deduplication Storage Systems, DD OS, Integrated Data Protection Appliance Family
Article Properties
Article Number: 000192537
Article Type: Solution
Last Modified: 28 Aug 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.