Домен даних: Майбутні зміни в сертифікаті безпеки транспортного рівня Microsoft Azure Storage
Summary: Зміни в сертифікаті безпеки транспортного рівня (TLS) містяться в системах домену даних, що впливають на системи Data Domain, налаштовані на віртуальне видання Cloud Tier і Data Domain Virtual Edition (DDVE), розгорнуте на платформі Azure Cloud з активним рівнем об'єктного сховища (ATOS). Dell Technologies рекомендує встановлювати нові сертифікати за першої можливості, щоб уникнути будь-яких збоїв. ...
Symptoms
Якщо зміна сертифіката сховища Azure відбудеться (починаючи з липня 2022 року) до того, як нові сертифікати будуть додані як довірені для хмари, хмарний блок переходить у стан відключення для системи домену даних, яка налаштована на Cloud Tier в Azure:
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Якщо DDVE розгорнуто в Azure з активним рівнем на об'єктному сховищі (ATOS), файлова система вимикається з такими повідомленнями з попередженнями:
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Служби Microsoft Azure Storage були оновлені для використання сертифікатів TLS від центрів сертифікації (CA), які підключаються до кореневого каталогу DigiCert Global G2. Тим часом, поточні сертифікати (видані коренем Baltimore Cyber-Trust) продовжують використовуватися.
Ця зміна починається з липня 2022 року і, як очікується, буде завершена до кінця жовтня 2022 року. Рекомендується встановити новий сертифікат до 30 червня 2022 року та НЕ видаляти поточний сертифікат.
Для доступу до контейнерів Blob (для Data Domain Cloud Tier або DDVE ATOS) системи Data Domain вимагають новий кореневий сертифікат CA DigiCert Global G2 замість поточного кореневого сертифіката CA Baltimore Cyber-Trust як довіреного для хмари.
Для отримання більш детальної інформації на цю тему дивіться наступну офіційну статтю Azure Security Blob:
Azure Storage TLS: Критичні зміни вже майже тут! (… і чому вам варто перейматися) - Microsoft Tech Community.
Resolution
Щоб зробити перехід на нові сертифікати безпеки Azure Storage максимально плавним, коли зміни почнуть впроваджуватися в липні 2022 року, необхідно зберегти довірений сертифікат «Baltimore Cyber-Trust root CA» як довірений для хмари в Data Domain, а також додати новий сертифікат «DigiCert Global G2 Root CA» як довірений для хмари, а не замінювати одне на інше.
Зберігання обох сертифікатів не викликає проблем і дозволяє системі Data Domain DDVE довіряти з'єднання до сховища Azure незалежно від того, який сертифікат представлено, виданий будь-яким із центрів сертифікації, і таким чином уникати будь-яких простоїв, оскільки новий сертифікат вперше представлено системі Data Domain/DDVE в певний момент, починаючи з липня 2022 року.
Наступні кроки застосовні для підтримки кореневого сертифіката DigiCert Global G2 для систем Data Domain, які налаштовані на Cloud Tier або DDVE, розгорнуті на платформі Azure Cloud з ATOS. Також рекомендується додати кореневий сертифікат DigiCert Global G3 і сертифікат Microsoft ECC або RSA Root Certificate Authority Certificate, щоб уникнути збоїв у майбутньому.
Переконайтеся, що система Data Domain DDVE має "Baltimore Cyber-Trust Root" для хмарної програми відповідно до наступного прикладу:
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
ВАРІАНТ 1: Інструкції з інсталяції сертифіката за допомогою робочої станції
Microsoft Windows Для демонстрації натисніть на відео нижче:
Дивитися на YouTube
-
Створіть папку на локальній робочій станції.
Наприклад:
C:\MS-AZ-сертифікати -
Завантажити Глобальні кореневі сертифікати G2/G3 DigiCert з наступної сторінки:
Кореневі сертифікати DigiCert - завантаження та тестування | DigiCert.comКлацніть правою кнопкою миші Завантажити PEM і збережіть посилання як:
Відбиток пальця DigiCertGlobalRootG2.crt.pem
SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4Відбиток пальця DigiCertGlobalRootG3.crt.pem
SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Завантажити Сертифікат Microsoft RSA та ECC.
Клацніть правою кнопкою миші Завантажити PEM і збережіть посилання як:
Центр кореневих сертифікатів Microsoft RSA 2017
(Відбиток пальця: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Центр кореневих сертифікатів Microsoft ECC 2017
(Відбиток пальця: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Зайдіть в командний рядок і виконайте наведені нижче дії. Вони призначені для запуску з хоста Windows, однак подібні команди можуть виконуватися з хоста Linux.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Перейменувати DigiCertGlobalRootG2 файлує наступним чином з .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Перетворити Microsoft ECC RSA Root Certificate Authority Certificate від crt до pem у форматі pem наступним чином:
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Імпортуйте всі файли сертифікатів у форматі PEM з папки за допомогою інтерфейсу системного диспетчера PowerProtect DD.
- Для системи Data Domain, налаштованої на Cloud Tier:
Управління > даними, файлова система, > хмарні блоки > , управління сертифікатами, > додавання.
Повторіть описані вище кроки для решти трьох сертифікатів. - Для системи Data Domain, що працює на платформі Azure з ATOS:
Управління > даними Файлова система > Підсумок > Зміна Об'єкт Сховище > СЕРТИФІКАТ > Додати.
Повторіть описані вище кроки для решти трьох сертифікатів.Примітка: Не додавайте нові сертифікати центру сертифікації в розділі Керування доступом.
- Для системи Data Domain, налаштованої на Cloud Tier:
ВАРІАНТ 2: Інструкції з інсталяції сертифіката за допомогою робочої станції Linux
-
Завантажте наступні два сертифікати DigiCert у форматі .pem.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Відбиток пальця SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Відбиток пальця SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Завантажте наступні два кореневі сертифікати у форматі DER CRT.
Центр кореневих сертифікатів Microsoft RSA 2017
(Відбиток пальця: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Центр кореневих сертифікатів Microsoft ECC 2017
(Відбиток пальця: 999a64c37ff47d9fab95f14769891460eec4c3c5)Приклад:
Завантаження сертифікатів за допомогою утиліти Linux wget:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Перетворіть два кореневі сертифікати у формат .pem за допомогою наведених нижче команд.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Скопіюйте файли сертифікатів .pem у системі Data Domain.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Встановіть сертифікат наступним чином:
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Перевірте інформацію про новий сертифікат у командному рядку DD DDVE:
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Якщо будь-який із сертифікатів було випадково додано для «Програми», відмінної від «хмари», видаліть його із сертифіката центру сертифікації в розділі «Інтерфейс керування доступом».
Примітка: Не видаляйте старий сертифікат "Baltimore Cyber-Trust Root".
Для системи домену даних, яка налаштована на файлову систему Cloud Tier, може знадобитися перезавантаження для відновлення з'єднання з хмарними одиницями. Організуйте простой і виконайте наступну команду для перезавантаження файлової системи:
#filesys restart
Для системи Data Domain, що працює на платформі Azure, перезавантажте DDVE:
#system reboot