Data Domain: Como lidar com as futuras alterações de certificado do Microsoft Azure Storage Transport Layer Security para sistemas configurados com o Cloud Tier ou sistemas implementados na plataforma de nuvem do Azure

Caso ocorra a alteração do certificado de armazenamento do Azure (a partir de julho de 2022) antes que os novos certificados sejam adicionados como confiáveis para a nuvem, a unidade de nuvem entrará em um estado de desconexão para um sistema Data Domain configurado com o Cloud Tier no Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Se o Data Domain Virtual Edition (DDVE) for implementado no Azure com o nível ativo no armazenamento em object (ATOS), o file system será desativado com as seguintes mensagens de alerta:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Os serviços de armazenamento do Microsoft Azure foram atualizados para usar certificados TLS das autoridades de certificação (CAs) encadeados na raiz DigiCert Global G2. No entanto, enquanto isso, os certificados atuais (emitidos pela raiz Baltimore Cyber-Trust) continuam sendo usados.

Essa alteração começa em julho de 2022 e deve ser concluída até o final de outubro de 2022. Recomendamos a instalação de um novo certificado antes de 30 de junho de 2022 e NÃO exclua o certificado atual.

Para acessar contêineres blob (para Data Domain Cloud Tier ou DDVE ATOS), os sistemas Data Domain exigem o novo certificado raiz CA DigiCert Global G2 em vez do certificado ca raiz Baltimore Cyber-Trust atual, como confiável para a nuvem.

Para obter mais detalhes sobre o tópico, consulte o seguinte Blob oficial de segurança do Azure:
Azure Storage TLS: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.

Para tornar a transição para os novos certificados de segurança do Azure Storage o mais suave possível quando as alterações começam a ser enviadas em julho de 2022, é necessário manter o certificado confiável "Baltimore Cyber-Trust root CA" como confiável para a nuvem no Data Domain e adicionar o novo certificado "DigiCert Global G2 Root CA" também como confiável para a nuvem, em vez de substituir um por outro.

Manter os dois certificados não provoca nenhum problema e permite que o sistema Data Domain DDVE confie nas conexões com o armazenamento do Azure, independentemente do certificado que está sendo emitido por qualquer um dos CAs e, portanto, evite qualquer tempo de inatividade, pois o novo certificado é apresentado ao sistema Data Domain/DDVE pela primeira vez em algum momento a partir de julho de 2022.

As etapas a seguir são aplicáveis para dar suporte ao certificado raiz DigiCert Global G2 para sistemas Data Domain configurados com Cloud Tier ou DDVE implementado na plataforma Azure Cloud com ATOS. Também é recomendável adicionar o certificado raiz DigiCert Global G3 e o Microsoft ECC ou o certificado de autoridade de certificação raiz da RSA para evitar interrupções futuras.

Confirme se o sistema Data Domain DDVE tem "Baltimore Cyber-Trust Root" para o aplicativo em nuvem de acordo com o seguinte exemplo:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPÇÃO 1: Instruções para instalar o certificado usando a workstation
Microsoft Windows Para uma demonstração, clique no vídeo abaixo:

Assista no YouTube.

1. Crie uma pasta em sua workstation local.
   Por exemplo:
   C:\MS-AZ-certificados

2. Faça download dos certificados G2/G3 da raiz DigiCert Global na seguinte página:
   DigiCert Root Certificates - Download & Test | DigiCert.com

   Clique com o botão direito em Fazer download do PEM e salve o link como:
   Impressão digital DIGICertGlobalRootG2.crt.pem
   SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   Impressão digital DIGICertGlobalRootG3.crt.pem
   SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Faça download do certificado Microsoft RSA e ECC.

   Clique com o botão direito em Fazer download do PEM e salve o link como:
   Autoridade de certificação raiz da Microsoft RSA 2017
   (Impressão digital: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Autoridade de certificação raiz do Microsoft ECC 2017
   (Impressão digital: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Vá para a linha de comando e execute as etapas abaixo. Essas etapas são para um host do Windows. No entanto, comandos semelhantes podem ser executados a partir de um host do Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Renomeie os arquivos DigiCertGlobalRootG2 da seguinte forma com .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Converta o certificado da autoridade de certificação da raiz Microsoft ECC RSA do formato crt para pem da seguinte forma:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Importe todos os arquivos de certificado formatados para PEM da pasta usando a interface do usuário do PowerProtect DD System Manager.

   • Para o sistema Data Domain configurado com o Cloud Tier:
     Gerenciamento de dados -> File System -> Unidades de nuvem - Gerenciar> certificados -> Adicionar.
     
     
     
     Repita as etapas acima para os três certificados restantes.
   • Para o sistema Data Domain em execução na plataforma Azure com ATOS:
     Gerenciamento de dados -> File System -> Resumo - Modificar> armazenamento em object -> CERTIFICADO -> Adicionar.
     
     
     Repita as etapas acima para os três certificados restantes.

      

     Nota: Não adicione novos certificados de autoridade de certificação em Gerenciamento de acesso.

OPÇÃO 2: Instruções para instalar o certificado usando a workstation Linux

1. Faça download dos dois certificados DigiCert a seguir no formato .pem.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Impressão digital SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Impressão digital SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Faça download dos dois certificados raiz a seguir no formato DER CRT.

   Autoridade de certificação raiz da Microsoft RSA 2017
   (Impressão digital: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    

   Autoridade de certificação raiz do Microsoft ECC 2017
   (Impressão digital: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Exemplo:
   Download de certificados usando o utilitário wget do Linux:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Converta dois certificados raiz para o formato .pem usando os comandos abaixo.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Copie os arquivos de certificado.pem no sistema Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Instale o certificado da seguinte forma:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Verifique as informações do novo certificado na linha de comando do DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Se algum dos certificados tiver sido adicionado acidentalmente para um "Aplicativo" diferente de "nuvem", exclua-o do certificado da Autoridade de certificação na interface do usuário do Gerenciamento de acesso.
   

   Nota: Não exclua o antigo certificado "Baltimore Cyber-Trust Root".

Para um sistema Data Domain configurado com um file system do Cloud Tier, pode ser necessário reiniciar para restabelecer a conexão com unidades de nuvem. Programe-se para o tempo de inatividade e execute o seguinte comando para reiniciar o file system:
#filesys restart

Para o sistema Data Domain em execução na plataforma Azure, reinicialize o DDVE:
#system reboot