Data Domain: Yaklaşan Microsoft Azure Depolama Aktarım Katmanı Güvenlik Sertifikası Değişiklikleri

Summary: Nesne Depolamada Aktif Katmana (ATOS) sahip Azure Bulut platformunda dağıtılan Bulut Katmanı ve Data Domain Virtual Edition (DDVE) ile yapılandırılmış etkili Data Domain sistemlerinde bulunan Aktarım Katmanı Güvenliği (TLS) sertifika değişiklikleri. Dell Technologies, kesintileri önlemek için yeni sertifikaların ilk fırsatta kurulmasını önerir. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Azure Depolama sertifikası değişikliği (Temmuz 2022'den başlayarak), yeni sertifikalar bulut için güvenilir olarak eklenmeden önce gerçekleşirse bulut birimi, Azure'da Bulut Katmanı ile yapılandırılmış bir Data Domain sistemi için bağlantısı kesilmiş durumuna geçer:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

DDVE, Nesne Depolamada Etkin Katman (ATOS) ile Azure'da dağıtıldıysa dosya sistemi aşağıdaki uyarı mesajlarıyla devre dışı bırakılır:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Cause

Microsoft Azure Depolama hizmetleri, Sertifika Yetkililerinin (CA'lar) DigiCert Global G2 köküne kadar zincirleme olarak bağlanan TLS sertifikalarını kullanmak üzere güncelleştirildi. Ancak, bu arada mevcut sertifikalar (Baltimore Cyber-Trust kökü tarafından verilen) kullanılmaya devam eder.

Bu değişiklik Temmuz 2022'de başlayacak ve Ekim 2022'nin sonunda tamamlanması bekleniyor. 30 Haziran 2022'den önce yeni bir sertifika yüklemeniz ve geçerli sertifikayı SİLMEYİN DEĞİLMENİZ önerilir.

Data Domain sistemleri, Blob kapsayıcılarına erişmek için (Data Domain Bulut Katmanı veya DDVE ATOS için), bulut için güvenilir olan geçerli Baltimore Cyber-Trust kök CA sertifikası yerine yeni DigiCert Global G2 kök CA sertifikasını gerektirir.

Konu hakkında daha fazla ayrıntı için aşağıdaki resmi Azure güvenlik Blob:
Azure Depolama TLS'ye bakın: Critical changes are almost here! (… ve neden önemsemeniz gerektiği) - Microsoft Teknoloji Topluluğu.Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. 

Resolution

Temmuz 2022'de değişiklikler gönderilmeye başladığında yeni Azure Depolama güvenlik sertifikalarına geçişi olabildiğince sorunsuz hale getirmek için güvenilen "Baltimore Cyber-Trust kök CA" sertifikasını Data Domain'de bulut için güvenilir olarak tutmak ve yeni "DigiCert Global G2 Root CA" sertifikasını bulut için de güvenilir olarak eklemek gerekir. birini diğeriyle değiştirmek yerine.

Her iki sertifikanın da tutulması herhangi bir soruna neden olmaz ve CA'lardan herhangi biri tarafından verilen sertifikanın sunulmasından bağımsız olarak Data Domain DDVE sisteminin Azure Depolama bağlantılarına güvenmesine olanak tanır ve böylece yeni sertifika Temmuz 2022'den itibaren Data Domain/DDVE sistemine ilk kez sunulduğunda herhangi bir kapalı kalma süresi önlenir.

Aşağıdaki adımlar, ATOS ile Azure Bulut platformunda dağıtılan Bulut Katmanı veya DDVE ile yapılandırılmış Data Domain sistemleri için DigiCert Global G2 kök sertifikasını desteklemek için geçerlidir. Gelecekteki kesintileri önlemek için DigiCert Global G3 kök sertifikası ve Microsoft ECC veya RSA Kök Sertifika Yetkilisi Sertifikası eklemeniz de önerilir.

Aşağıdaki örnekte gösterildiği gibi Data Domain DDVE sisteminin bulut uygulaması için "Baltimore Cyber-Trust Root"a sahip olduğunu doğrulayın:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

1. SEÇENEK: Microsoft Windows iş istasyonunu
kullanarak Sertifika yükleme talimatları Demo için aşağıdaki videoya tıklayın:

YouTube'daBu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.izleyin .

  1. Yerel iş istasyonunuzda bir klasör oluşturun.
    Örneğin:
    C:\MS-AZ-certificates

  2. İndirmek Aşağıdaki sayfadan DigiCert Global Root G2/G3 sertifikaları:
    DigiCert Root Certificates - Download & Test | DigiCert.com (DigiCert Kök Sertifikaları - İndirme ve Test Etme | DigiCert.com)Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.

    PEM'i İndir'e sağ tıklayın ve bağlantıyı şu şekilde kaydedin:
    DigiCertGlobalRootG2.crt.pem
    SHA1 Fingerprint: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1 Fingerprint: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. İndirmek Microsoft RSA ve ECC sertifikası.

    PEM'i İndir'e sağ tıklayın ve bağlantıyı şu şekilde kaydedin:
    Microsoft RSA Kök Sertifika Yetkilisi 2017Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.
    (Parmak izi: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC Kök Sertifika Yetkilisi 2017Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.
    (Parmak izi: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. Komut satırına gidin ve aşağıdaki adımları çalıştırın . Bunlar bir Windows ana bilgisayardan çalıştırılmaktadır ancak benzer komutlar bir Linux ana bilgisayarından çalıştırılabilir.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

  1. Yeniden Adlandır DigiCertGlobalRootG2 dosyaları .pem ile aşağıdaki gibidir.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

  1. Dönüştürmek Microsoft ECC RSA Kök Sertifika Yetkilisi Sertifikası crt'den pem biçimine aşağıdaki gibidir:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

  1. PowerProtect DD System Manager kullanıcı arayüzünü kullanarak tüm PEM biçimli sertifika dosyalarını klasörden içe aktarın.

    • Bulut Katmanı ile yapılandırılmış Data Domain sistemi için:
      Veri Yönetimi > Dosya Sistemi > Bulut Birimleri Sertifikaları > Yönet Ekle > .
      Bulut sertifikalarını yönetmek için DataDomain GUI
      Bulut sağlayıcı için CA sertifikası eklemek için iletişim kutusu
      Bulut için DD tarafından güvenilen CA sertifikalarının listesi
      Kalan üç sertifika için yukarıdaki adımları tekrarlayın.
    • ATOS ile Azure Platformunda çalışan Data Domain sistemi için:
      Data Management > File System > Summary > Modify Object Store > CERTIFICATE > Add.
      Azure Cloud CA sertifikalarını gösteren DataDomain GUI
      Bulut için DD'de güvenilir olarak Microsoft Azure CA sertifikası ekleme
      Kalan üç sertifika için yukarıdaki adımları tekrarlayın.

       

      Not: Erişim yönetimi altına yeni Sertifika Yetkilisi sertifikaları eklemeyin.

 

2. SEÇENEK: Linux iş istasyonu kullanarak Sertifika yükleme talimatları

  1. Aşağıdaki iki DigiCert Sertifikasını .pem formatında indirin.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1 Fingerprint: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1 Fingerprint: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. Aşağıdaki iki Kök Sertifikayı indirin: DER CRT biçimindedir.

    Microsoft RSA Kök Sertifika Yetkilisi 2017
    (Parmak izi: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC Kök Sertifika Yetkilisi 2017
    (Parmak izi: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    Örneğin:
    Linux wget yardımcı programını kullanarak sertifikalar indirme:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

  1. Aşağıdaki komutları kullanarak iki Kök Sertifikayı .pem biçimine dönüştürün.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

  1. Data Domain sistemindeki .pem sertifika dosyalarını kopyalayın.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

  1. Sertifikayı aşağıdaki gibi yükleyin:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

  1. DD DDVE komut satırından yeni sertifika bilgilerini kontrol edin:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

  1. Sertifikalardan herhangi biri yanlışlıkla "bulut" dışında bir "Uygulama" için eklenmişse bu sertifikayı Erişim Yönetimi kullanıcı arayüzünün altındaki Sertifika Yetkilisi sertifikasından silin.
    Güvenilen CA sertifikalarını işlemek için DataDomain GUI


    Not: Eski "Baltimore Cyber-Trust Root" sertifikasını silmeyin.

 

Bulut Katmanı dosya sistemiyle yapılandırılmış bir Data Domain sistemi söz konusu olduğunda Bulut Birimleri ile bağlantıyı yeniden kurmak için yeniden başlatma gerekebilir. Kesinti süresi ayarlayın ve dosya sistemini yeniden başlatmak için aşağıdaki komutu çalıştırın:

#filesys restart

Azure Platformda çalışan Data Domain sistemi için DDVE'yi yeniden başlatın:

#system reboot

Affected Products

Data Domain Deduplication Storage Systems, DD OS, Integrated Data Protection Appliance Family
Article Properties
Article Number: 000192537
Article Type: Solution
Last Modified: 28 Aug 2025
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.