Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Data Domain: Sådan håndterer du kommende Microsoft Azure Storage Transport Layer Security-certifikatændringer for systemer, der er konfigureret med Cloud Tier eller systemer, der er implementeret på Azure Cloud-platformen

Résumé: TLS-certifikatændringer (Transport Layer Security), der er indeholdt i påvirkeDe Domain-systemer, der er konfigureret med Cloud Tier og DDVE (Data Domain Virtual Edition), der er implementeret på Azure Cloud-platformen med Active Tier på ATOS (Object Storage). Dell EMC Data Domain anbefaler, at de nye certifikater installeres hurtigst muligt for at undgå afbrydelser. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes

Hvis der sker en ændring i Azure Storage-certifikatet (fra juli 2022), inden de nye certifikater tilføjes som betroet til clouden, går cloud-enheden i en frakoblingstilstand for et Data Domain-system, der er konfigureret med Cloud Tier i Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

 

Hvis Data Domain Virtual Edition (DDVE) implementeres på Azure med Active Tier on Object Storage (ATOS), deaktiveres filsystemet med følgende advarselsmeddelelser:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

 

Cause

Microsoft Azure Storage-tjenester blev opdateret til at bruge TLS-certifikater fra nøglecentre (CAs), der kædede op til DigiCert Global G2-roden. I mellemtiden fortsætter de nuværende certifikater (udstedt af Cyber-Trust-roden) med at blive brugt.

 

Denne ændring starter fra juli 2022 og forventes at være gennemført i slutningen af oktober 2022. Vi anbefaler, at du installerer et nyt certifikat før den 30. juni 2022 og IKKE sletter det aktuelle certifikat.

 

For at få adgang til Blob-containere (for enten Data Domain Cloud Tier eller DDVE ATOS) kræver Data Domain-systemer det nye DigiCert Global G2-rodnøglecentercertifikat i stedet for det aktuelle Cyber-Trust-rodnøglecentercertifikat som betroet til clouden.

 

Du kan finde flere oplysninger om emnet i følgende officielle Azure-sikkerheds-Blob:
Azure Storage TLS: Kritiske ændringer er næsten her! (... og hvorfor det passer dig) - Microsoft Tech Community.Dette hyperlink fører dig til et websted uden for Dell Technologies.

 

Résolution

For at gøre overgangen til de nye Azure Storage-sikkerhedscertifikater så problemfri som muligt, når ændringerne begynder at blive skubbet i juli 2022, er det nødvendigt at beholde det betroede "Cyber-Trust root CA"-certifikat som betroet for cloud i Data Domain og tilføje det nye "DigiCert Global G2 Root CA"-certifikat, der også er tillid til for cloud, i stedet for at udskifte det ene med et andet.

 

Hvis begge certifikater bevares, opstår der ingen problemer, og Det gør det muligt for Data Domain DDVE-systemet at have tillid til forbindelserne til Azure Storage, uanset hvilket certifikat der præsenteres af en af CA'erne, og således undgå nedetid, når det nye certifikat præsenteres for Data Domain/DDVE-systemet for første gang på et tidspunkt fra juli 2022.

 

Følgende trin gælder for at understøtte DigiCert Global G2-rodcertifikat for Data Domain-systemer, der er konfigureret enten med Cloud Tier eller DDVE implementeret på Azure Cloud-platform med ATOS. Det anbefales også at tilføje DigiCert Global G3-rodcertifikat og Microsoft ECC- eller RSA-rodnøglecentercertifikat for at undgå fremtidige afbrydelser.

 

Bekræft, at Data Domain DDVE-systemet har "Cyber-Trust Root" til cloud-programmet i henhold til følgende eksempel:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

 

MULIGHED 1: Instruktioner til installation af certifikat ved hjælp af Microsoft Windows-arbejdsstation
til en demo skal du klikke på nedenstående video:

 

 

Se på YouTube.

 

  1. Opret en mappe på din lokale arbejdsstation.
    F.eks.:
    C:\MS-DIP-certifikater

  2. Download DigiCert Global Root G2/G3-certifikater fra følgende side:
    DigiCert-rodcertifikater – Download > Test | DigiCert.comDette hyperlink fører dig til et websted uden for Dell Technologies.

    Højreklik på Download PEM, og gem linket som:
    DigiCertGlobalRootG2.crt.pem
    SHA1 Fingeraftryk: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

    DigiCertGlobalRootG3.crt.pem
    SHA1 fingeraftryk: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  3. Download Microsoft RSA- og ECC-certifikat.

    Højreklik på Download PEM, og gem linket som:
    Microsoft RSA Root Certificate Authority 2017Dette hyperlink fører dig til et websted uden for Dell Technologies.
    (Aftryk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    Microsoft ECC Root Certificate Authority 2017Dette hyperlink fører dig til et websted uden for Dell Technologies.
    (Aftryk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

  4. Gå til kommandolinjen, og kør trinnene nedenfor. Disse køres fra en Windows-vært, men lignende kommandoer kan køre fra en Linux-vært.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

 

  1. Omdøb DigiCertGlobalRootG2-filer som følger med .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

 

  1. Konverter Microsoft ECC RSA Root Certificate Authority-certifikat fra crt- til pem-format på følgende måde:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

 

  1. Importer alle PEM-formaterede certifikatfiler fra mappen ved hjælp af brugergrænsefladen til PowerProtect DD System Manager.

    • For Data Domain-system, der er konfigureret med Cloud Tier:
      DataAdministration -> Filsystem -> Cloud-enheder -> Administrer certifikater -> Tilføj.

      DataDomain GUI til administration af cloud-certifikater
      Dialogboks for tilføjelse af ca-certifikat for cloud-udbyder
      Liste over CA-certifikater, der er betroet af DD for Cloud
      Gentag ovenstående trin for de resterende tre certifikater.
    • For Data Domain-systemer, der kører på Azure Platform med ATOS:
      Data Management - File System - Summary - Modify Object Store - CERTIFICATE - Add (Dataadministration -> Filsystem -> Oversigt -> Rediger objektlager -> CERTIFIKAT -> Tilføj.

      DataDomain GUI, der viser Azure Cloud CA-certifikater
      Tilføjelse af Et Microsoft Azure CA-certifikat, som du har tillid til, i DD for Cloud
      Gentag ovenstående trin for de resterende tre certifikater.

       

      Bemærk: Tilføj ikke nye nøglecentercertifikater under adgangsstyring.

 

MULIGHED 2: Vejledning til installation af certifikat ved hjælp af Linux-arbejdsstation

  1. Download følgende to DigiCert-certifikater i .pem-format.


    https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1 fingeraftryk: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4


    https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1 fingeraftryk: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

  2. Download følgende to rodcertifikater er i DER CRT-format.

    Microsoft RSA Root Certificate Authority 2017
    (Aftryk: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

     

    Microsoft ECC Root Certificate Authority 2017
    (Aftryk: 999a64c37ff47d9fab95f14769891460eec4c3c5)

    Eksempel:
    Download af certifikater ved hjælp af værktøjet Linux wget:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

 

  1. Konverter to rodcertifikater til .pem-format ved hjælp af nedenstående kommandoer.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

 

  1. Kopier .pem-certifikatfiler på Data Domain-systemet.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

 

  1. Installer certifikatet på følgende måde:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

 

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

 

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

 

  1. Kontroller de nye certifikatoplysninger fra DD DDVE-kommandolinjen:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

 

  1. Hvis nogen af certifikaterne ved et uheld blev tilføjet for et andet "program" end "cloud", skal du slette det fra nøglecentrets certifikat under brugergrænsefladen til adgangsstyring.
    DataDomain GUI til håndtering af betroede CA-certifikater

    Bemærk: Slet ikke det gamle "Cyber-Trust Root"-certifikat.

 

For et Data Domain-system, der er konfigureret med et Cloud Tier-filsystem, kan det være nødvendigt at genstarte for at genetablere forbindelsen til Cloud-enheder. Arranger nedetid, og kør følgende kommando for at genstarte filsystemet:
#filesys restart

 

For Data Domain-systemer, der kører på Azure Platform, skal du genstarte DDVE:
#system reboot

 

Produits concernés

Data Domain, Integrated Data Protection Appliance Family
Propriétés de l’article
Numéro d’article: 000192537
Type d’article: Solution
Dernière modification: 16 Jan 2024
Version:  6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.