Data Domain: Cómo manejar los próximos cambios en el certificado de seguridad de capa de transporte de almacenamiento de Microsoft Azure para sistemas configurados con nivel de nube o sistemas implementados en la plataforma de nube de Azure

Si se produjera el cambio en el certificado de Azure Storage (a partir de julio de 2022) antes de que los nuevos certificados se agreguen como de confianza para la nube, la unidad de nube entra en un estado de desconexión para un sistema Data Domain configurado con nivel Clout Tier en Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Si Data Domain Virtual Edition (DDVE) se implementa en Azure con nivel activo en almacenamiento de objetos (ATOS), el sistema de archivos se deshabilita con los siguientes mensajes de alerta:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Los servicios de almacenamiento de Microsoft Azure se actualizaron para utilizar certificados TLS de autoridades de certificación (CA) que se encadenan hasta la raíz Global G2 de DigiCert. Sin embargo, mientras tanto, se siguen utilizando los certificados actuales (emitidos por la raíz De confianza cibernética de Baltimore).

Este cambio comienza a partir de julio del 2022 y se espera que se complete a fines de octubre del 2022. Se recomienda instalar un nuevo certificado antes del 30 de junio de 2022 y NO eliminar el certificado actual.

Para acceder a los contenedores de Blob (para Data Domain Cloud Tier o DDVE ATOS), los sistemas Data Domain requieren el nuevo certificado de CA raíz de DigiCert Global G2 en lugar del certificado de CA raíz de Baltimore Cyber-Trust actual como de confianza para la nube.

Para obtener más detalles sobre el tema, consulte el siguiente Blob oficial de seguridad de Azure:
TLS de Azure Storage: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.

Para que la transición a los nuevos certificados de seguridad de Azure Storage sea lo más fluida posible cuando los cambios comiencen a realizarse en julio de 2022, es necesario mantener el certificado de confianza "Baltimore Cyber-Trust root CA" como de confianza para la nube en Data Domain y agregar el nuevo certificado "DigiCert Global G2 Root CA" también como confiable para la nube, en lugar de reemplazarse entre sí.

Mantener ambos certificados no genera ningún problema y permite que el sistema Data Domain DDVE confíe en las conexiones al almacenamiento de Azure sin importar el certificado que emita cualquiera de las CA, por lo que evita cualquier tiempo de inactividad, ya que el nuevo certificado se presenta al sistema Data Domain/DDVE por primera vez en algún momento a partir de julio de 2022.

Los siguientes pasos se aplican para admitir el certificado raíz de DigiCert Global G2 para los sistemas Data Domain que están configurados con Nivel de nube o DDVE implementado en la plataforma de nube de Azure con ATOS. También se recomienda agregar el certificado raíz Global G3 de DigiCert y el certificado de microsoft ECC o de la autoridad de certificación raíz de RSA para evitar interrupciones futuras.

Confirme que el sistema Data Domain DDVE tenga "Baltimore Cyber-Trust Root" para la aplicación de nube según el siguiente ejemplo:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPTION 1: Instrucciones para instalar el certificado mediante la estación de trabajo
de Microsoft Windows Para obtener una demostración, haga clic en el siguiente video:

Ver en YouTube

1. Cree una carpeta en la estación de trabajo local.
   Por ejemplo:
   C:\MS-AZ-certificates

2. Descargue los certificados raíz global G2/G3 de DigiCert desde la siguiente página:
   DigiCert Root Certificates - Download & Test | DigiCert.com

   Haga clic con el botón secundario en Descargar PEM y guarde el vínculo de la siguiente manera:
   Huella digital de DigiCertGlobalRootG2.crt.pem
   SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   Huella digital de DigiCertGlobalRootG3.crt.pem
   SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Descargue el certificado de Microsoft RSA y ECC.

   Haga clic con el botón secundario en Descargar PEM y guarde el vínculo de la siguiente manera:
   Autoridad de certificación raíz de Microsoft RSA 2017
   (Huella digital: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Autoridad de certificación raíz de Microsoft ECC 2017
   (Huella digital: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Vaya a la línea de comandos y ejecute los siguientes pasos. Estos se deben ejecutar desde un host de Windows; sin embargo, se pueden ejecutar comandos similares desde un host de Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Cambie el nombre de los archivos DigiCertGlobalRootG2 de la siguiente manera con .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Convierta el certificado de la autoridad de certificación raíz de RSA de Microsoft ECC del formato crt a pem de la siguiente manera:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Importe todos los archivos de certificado con formato PEM desde la carpeta mediante la UI de PowerProtect DD System Manager.

   • Para el sistema Data Domain configurado con Cloud Tier:
     Administración de datos -> Sistema de archivos -> Unidades de nube -> Administrar certificados -> Agregar.
     
     
     
     Repita los pasos anteriores para los tres certificados restantes.
   • Para el sistema Data Domain que se ejecuta en la plataforma Azure con ATOS:
     Administración de datos -> Sistema de archivos -> Resumen -> Modificar almacén de objetos -> CERTIFICADO -> Agregar.
     
     
     Repita los pasos anteriores para los tres certificados restantes.

      

     Nota: No agregue nuevos certificados de autoridad de certificación en Access Management.

OPTION 2: Instrucciones para instalar el certificado mediante una estación de trabajo Linux

1. Descargue los siguientes dos certificados de DigiCert en formato.pem.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Huella digital SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Huella digital SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Descargue los siguientes dos certificados raíz en formato CRT DER.

   Autoridad de certificación raíz de Microsoft RSA 2017
   (Huella digital: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    

   Autoridad de certificación raíz de Microsoft ECC 2017
   (Huella digital: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Ejemplo:
   Descarga de certificados mediante la utilidad wget de Linux:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Convierta dos certificados raíz a formato .pem mediante los siguientes comandos.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Copie los archivos de certificado.pem en el sistema Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Instale el certificado de la siguiente manera:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Compruebe la información del nuevo certificado desde la línea de comandos de DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Si alguno de los certificados se agregó accidentalmente para una "aplicación" distinta de "nube", elimínelo del certificado de la autoridad de certificación en la interfaz del usuario de Administración de acceso.
   

   Nota: No elimine el certificado antiguo "Baltimore Cyber-Trust Root".

Para un sistema Data Domain configurado con un sistema de archivos de nivel de nube, es posible que se requiera un reinicio para restablecer la conexión con las unidades de nube. Tome previsiones para el tiempo de inactividad y ejecute el siguiente comando para reiniciar el sistema de archivos:
#filesys restart

Para el sistema Data Domain que se ejecuta en la plataforma Azure, reinicie DDVE:
#system reboot