23 Mart 2021 itibarıyla AWS S3 sertifika değişikliklerini ele alma

摘要: AWS, S3 için sunucu sertifikalarını Amazon Trust Services CA tarafından sunulan sertifikalarla değiştiriyor. Bu değişiklik, AWS bildirimlerine göre 23 Mart 2021 itibarıyla geçerli olacak. Söz konusu değişiklik, Bulut katmanı ve (Active Tier on Object Storage) ATOS ile AWS Cloud platformuna dağıtılan Data Domain Virtual Edition (DDVE) ile yapılandırılan Data Domain sistemlerini etkiler. ...

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

症狀

Bu sertifika değişikliği, Bulut katmanıyla yapılandırılmış Data Domain sistemleri için bulut biriminin bağlantısının kesilmesine neden olur:     
 
# alert show current
Id Post Time Severity Class Object Message
----- ------------------------ -------- ----- ------------------------ -------------------------------------------------------------------------
m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=aws-unit EVT-CLOUD-00001: Unable to access provider for cloud unit aws-unit.
----- ------------------------ -------- ----- ------------------------ -------------------------------------------------------------------------
There is 1 active alert.

# cloud unit list
Name Profile Status
-------------- --------- ------------
aws-unit aws Disconnected
-------------- --------- ------------

VEYA

ATOS ile AWS'ye dağıtılan DDVE için dosya sistemi aşağıdaki uyarı mesajlarıyla devre dışı bırakılır:      
 
Alert History
-------------
Id Post Time Clear Time Severity Class Object Message
----- ------------------------ ------------------------ -------- ----------------- ------ --------------------------------------------------------------------------------------
m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from

原因

AWS, S3 için sunucu sertifikalarını Amazon Trust Services CA tarafından sunulan sertifikalarla değiştiriyor. Bu değişiklik 23 Mart 2021 itibarıyla geçerli olacak.

S3 gruplarına erişmek için sistemde, mevcut Baltimore CyberTrust Root sertifikası yerine yeni bir Starfield Class 2 Certification Authority rootCA sertifikası gerekir.

解析度

Aşağıdaki adımlar, ATOS ile AWS Cloud platformuna dağıtılmış Cloud katmanı ve DDVE ile yapılandırılan Data Domain sistemleri için geçerlidir.

  1. Aşağıdaki örnekte olduğu gibi sistemin bulut uygulaması için şu anda "Baltimore CyberTrust Root" kullanıp kullanmadığını kontrol edin:      
 
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
dd01.example.com imported-host ddboost Sat Jun 20 15:09:16 2020 Thu Jun 19 15:09:16 2025 12:DB:62:AA:E8:59:5B:E9:63:29:A0:DC:6B:63:B2:BB:E5:77:07:C6
avamar.example.com imported-ca login-auth Fri Jun 19 17:25:13 2020 Wed Jun 18 17:25:13 2025 D8:03:BB:B0:31:C4:6D:E5:9E:14:92:A8:E2:36:99:3E:97:BB:31:25
avamar.example.com imported-ca ddboost Fri Jun 19 17:25:13 2020 Wed Jun 18 17:25:13 2025 D8:03:BB:B0:31:C4:6D:E5:9E:14:92:A8:E2:36:99:3E:97:BB:31:25
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
Certificate signing request (CSR) exists at /ddvar/certificates/CertificateSigningRequest.csr
  1. Aağıdaki sayfadan Starfield Class 2 Certification Authority rootCA sertifikasını indirin 
https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certif:     icate-authority/

"here" (buraya) öğesine sağ tıklayın ve sertifikayı farklı kaydedin:     


Sertifikayı indirmek için alternatif bağlantı:   https://certs.secureserver.net/repository/sf-class2-root.crt
  1. sf-class2-root.crt dosyasını sf-class2-root.pem olarak yeniden adlandırın (yalnızca dosya uzantısını değiştirin).
 
Metin Açıklaması otomatik olarak oluşturulur
 
  1. Data Domain sistem yöneticisi GUI'sini kullanarak sertifikayı içe aktarın.
  • Bulut Birimleri:  "Data Management" (Veri Yönetimi) > "File System" (Dosya Sistemi) > "Cloud Units" (Bulut Birimleri) > "Manage Certificates" (Sertifikaları Yönet) > Add (Ekle)
  •  DDVE: "Administration" (Yönetim) > "Access" (Erişim) > "MANAGE CA CERTIFICATES" (CA SERTİFİKALARINI YÖNET) > "+ Add (Ekle)
  • Ardından CLI adım 2'yi uygulayın. (bu ekran görüntülerinin aşağısındadır)
image.png

image.png
Alternatif olarak CLI'dan
  1. scp veya sftp yöntemini kullanarak sf-class2-root.pem dosyasını /ddr/var/certificates yoluna aktarın
  2. Sertifikayı içe aktarın
# adminaccess certificate import ca application cloud file sf-class2-root.pem
  • NOT: Bu sertifika, konuyu GUI'de boş olarak veya göz ardı edilebilecek "adminaccess certificate show" çıktısında gösterebilir (boş olarak görüntüleme dışında işlevsellikle alakalı bir sorun yoktur).
 
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
dd01.example.com imported-host ddboost Sat Jun 20 15:09:16 2020 Thu Jun 19 15:09:16 2025 12:DB:62:AA:E8:59:5B:E9:63:29:A0:DC:6B:63:B2:BB:E5:77:07:C6
avamar.example.com imported-ca login-auth Fri Jun 19 17:25:13 2020 Wed Jun 18 17:25:13 2025 D8:03:BB:B0:31:C4:6D:E5:9E:14:92:A8:E2:36:99:3E:97:BB:31:25
avamar.example.com imported-ca ddboost Fri Jun 19 17:25:13 2020 Wed Jun 18 17:25:13 2025 D8:03:BB:B0:31:C4:6D:E5:9E:14:92:A8:E2:36:99:3E:97:BB:31:25
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
- imported-ca cloud Tue Jun 29 10:39:16 2004 Thu Jun 29 10:39:16 2034 AD:7E:1C:28:B0:64:EF:8F:60:03:40:20:14:C3:D0:E3:37:0E:B5:8A
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
Certificate signing request (CSR) exists at /ddvar/certificates/CertificateSigningRequest.csr
  • Eski "Baltimore CyberTrust Root" sertifikasını kaldırmayın. Bazı durumlarda AWS'nin, Baltimore sertifikasına geri döndürüldüğünü tespit ettik.
  • Eski sertifikayı, yeni Starfield sertifikasıyla birlikte saklayın.
 

受影響的產品

Data Domain, PowerProtect Data Protection Software
文章屬性
文章編號: 000184415
文章類型: Solution
上次修改時間: 22 8月 2022
版本:  13
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。