Data Domain: Kommende sertifikatendringer for sikkerhetssertifikatet for Microsoft Azure-lagringstransportlaget

摘要: Sertifikatendringene for Transport Layer Security (TLS) i datadomenesystemer som er konfigurert med Cloud Tier og Data Domain Virtual Edition (DDVE) distribuert på Azure Cloud-plattformen med Active Tier on Object Storage (ATOS). Dell Technologies anbefaler at du installerer de nye sertifikatene så snart som mulig for å unngå avbrudd. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Hvis Azure Storage-sertifikatendringen skjer (starter i juli 2022) før de nye sertifikatene legges til som klarert for skyen, går skyenheten inn i en frakoblet tilstand for et Data Domain-system som er konfigurert med Cloud Tier i Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Hvis DDVE distribueres på Azure med Active Tier on Object Storage (ATOS), deaktiveres filsystemet med følgende varslingsmeldinger:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

原因

Microsoft Azure Storage-tjenester ble oppdatert til å bruke TLS-sertifikater fra sertifiseringsinstanser (CA-er) som er koblet til DigiCert Global G2-roten. I mellomtiden fortsetter imidlertid de nåværende sertifikatene (utstedt av Baltimore Cyber-Trust-roten) å bli brukt.

Denne endringen starter fra juli 2022 og forventes å være fullført innen utgangen av oktober 2022. Det anbefales å installere et nytt sertifikat før 30. juni 2022 og IKKE slette gjeldende sertifikat.

For å få tilgang til Blob-beholdere (enten for Data Domain Cloud Tier eller DDVE ATOS), krever Data Domain-systemer det nye DigiCert Global G2 root CA-sertifikatet i stedet for det gjeldende Baltimore Cyber-Trust rot-CA-sertifikatet som klarert for skyen.

Hvis du vil ha mer informasjon om emnet, kan du se følgende offisielle Azure-sikkerhet Blob:
Azure Storage TLS: Kritiske endringer er nesten her! (… og hvorfor du bør bry deg) - Microsoft Tech Community.Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies. 

解决方案

For å gjøre overgangen til de nye Azure Storage-sikkerhetssertifikatene så smidig som mulig når endringene begynner å bli presset i juli 2022, er det nødvendig å beholde det pålitelige "Baltimore Cyber-Trust root CA"-sertifikatet som klarert for skyen i Data Domain, og legge til det nye "DigiCert Global G2 Root CA"-sertifikatet også som klarert for skyen. i stedet for å erstatte det ene med det andre.

Å beholde begge sertifikatene medfører ingen problemer og lar Data Domain DDVE-systemet stole på tilkoblingene til Azure Storage uansett sertifikatet som presenteres utstedt av en av sertifiseringsinstansene, og dermed unngå nedetid når det nye sertifikatet presenteres for Data Domain/DDVE-systemet for første gang fra og med juli 2022.

Følgende trinn gjelder for å støtte DigiCert Global G2-rotsertifikat for Data Domain-systemer som er konfigurert enten med nettskynivå eller DDVE distribuert på Azure Cloud-plattformen med ATOS. Det anbefales også å legge til DigiCert Global G3-rotsertifikat og Microsoft ECC- eller RSA-rotsertifikatmyndighetssertifikat for å unngå fremtidige avbrudd.

Bekreft at Data Domain DDVE-systemet har "Baltimore Cyber-Trust Root" for nettskyapplikasjon i følgende eksempel:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

ALTERNATIV 1: Instruksjoner for å installere sertifikat ved hjelp av Microsoft Windows arbeidsstasjon
For en demo, klikk på videoen nedenfor:

Se på YouTubeDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies..

  1. Opprett en mappe på din lokale arbeidsstasjon.
    Eksempel:
    C:\MS-AZ-sertifikater

  2. Laste ned DigiCert Global Root G2/G3-sertifikater fra følgende side:
    DigiCert rotsertifikater - Last ned og test | DigiCert.comDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

    Høyreklikk Last ned PEM og lagre lenken som:
    DigiCertGlobalRootG2.crt.pem
    SHA1 Fingerprint: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1 Fingerprint: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. Laste ned Microsoft RSA- og ECC-sertifikat.

    Høyreklikk Last ned PEM og lagre lenken som:
    Microsoft RSA-rotsertifiseringsinstans 2017Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.
    (Avtrykk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC rotsertifiseringsinstans 2017Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.
    (Avtrykk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. Gå til kommandolinjen og kjør trinnene nedenfor. Disse skal kjøres fra en Windows-vert, men lignende kommandoer kan kjøre fra en Linux-vert.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

  1. Gi nytt navn DigiCertGlobalRootG2-filer som følger med .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

  1. Konvertere Sertifikat for Microsoft ECC RSA-rotsertifiseringsinstans fra CRT- til PEM-format som følger:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

  1. Importer alle PEM-formaterte sertifikatfiler fra mappen ved hjelp av brukergrensesnittet for PowerProtect DD System Manager.

    • For Data Domain-system konfigurert med Cloud Tier:
      Data Management > File System > Cloud Units > Manage sertifikater > Legg til.
      DataDomain-GUI for å administrere skysertifikater
      Dialogboks for å legge til CA-sertifikat for skyleverandør
      Liste over CA-sertifikater klarert av DD for Cloud
      Gjenta trinnene ovenfor for de resterende tre sertifikatene.
    • For Data Domain-systemer som kjører på Azure-plattformen med ATOS:
      Databehandling > Filsystemsammendrag >> Endre objektlager > SERTIFIKAT > Legg til.
      DataDomain-grensesnitt som viser CA-sertifikater for Azure Cloud
      Legge til et Microsoft Azure CA-sertifikat som klarert i DD for Cloud
      Gjenta trinnene ovenfor for de resterende tre sertifikatene.

       

      Merk: Ikke legg til nye sertifiseringsinstanssertifikater under Tilgangsstyring.

 

ALTERNATIV 2: Instruksjoner for å installere sertifikat ved hjelp av Linux arbeidsstasjon

  1. Last ned følgende to DigiCert-sertifikater i .pem-format.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1 Fingeravtrykk: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1 Fingeravtrykk: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. Last ned følgende to rotsertifikater er i DER CRT-format.

    Microsoft RSA-rotsertifiseringsinstans 2017
    (Avtrykk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC rotsertifiseringsinstans 2017
    (Avtrykk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    Eksempel:
    Laste ned sertifikater ved hjelp av Linux wget verktøyet:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

  1. Konverter to rotsertifikater til .pem-format ved hjelp av kommandoene nedenfor.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

  1. Kopier .pem-sertifikatfiler på Data Domain-systemet.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

  1. Installer sertifikatet på følgende måte:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

  1. Kontroller den nye sertifikatinformasjonen fra kommandolinjen for DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

  1. Hvis noen av sertifikatene ved et uhell ble lagt til for et annet program enn skyen, sletter du det fra sertifiseringsinstanssertifikatet under brukergrensesnittet for tilgangsstyring.
    DataDomain-GUI for håndtering av klarerte CA-sertifikater


    Merk: Ikke slett det gamle "Baltimore Cyber-Trust Root"-sertifikatet.

 

For et Data Domain-system som er konfigurert med et Cloud Tier-filsystem, kan det være nødvendig å starte på nytt for å gjenopprette tilkoblingen til Cloud Units. Avtal nedetid, og kjør følgende kommando for å starte filsystemet på nytt:

#filesys restart

Start DDVE på nytt for Data Domain-systemer som kjører på Azure-plattformen:

#system reboot

受影响的产品

Data Domain Deduplication Storage Systems, DD OS, Integrated Data Protection Appliance Family
文章属性
文章编号: 000192537
文章类型: Solution
上次修改时间: 28 8月 2025
版本:  8
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。