Data Domain : Comment gérer les modifications à venir du certificat de la couche de transport de stockage Microsoft Azure pour les systèmes configurés avec Cloud Tier ou les systèmes déployés sur la plate-forme Cloud Azure
Résumé: Les changements de certificat TLS (Transport Layer Security) affectent les systèmes Data Domain configurés avec Cloud Tier et Data Domain Virtual Edition (DDVE) déployés sur la plate-forme Cloud Azure avec Active Tier on Object Storage (ATOS). Dell EMC Data Domain recommande d’installer les nouveaux certificats dès que possible afin d’éviter toute interruption. ...
Symptômes
Si le changement de certificat Azure Storage intervient (à compter de juillet 2022) avant l’ajout des nouveaux certificats en tant que certificats de confiance pour le Cloud, l’unité Cloud passe à l’état de déconnexion dans le cas d’un système Data Domain configuré avec Cloud Tier dans Azure :
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
Si Data Domain Virtual Edition (DDVE) est déployé sur Azure avec active tier on Object Storage (ATOS), le système de fichiers est désactivé avec les messages d’alerte suivants :
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Les services de stockage Microsoft Azure ont été mis à jour pour utiliser les certificats TLS provenant des autorités de certification qui se connectent à la racine DigiCert Global G2. Toutefois, en attendant, les certificats actuels (émis par la racine Cyber-Trust de Baltimore) continuent d’être utilisés.
Cette modification commence à partir de juillet 2022 et devrait être terminée d’ici fin octobre 2022. Nous vous recommandons d’installer un nouveau certificat avant le 30 juin 2022 et de ne PAS supprimer le certificat actuel.
Pour accéder aux conteneurs Blob (pour Data Domain Cloud Tier ou DDVE ATOS), les systèmes Data Domain nécessitent le nouveau certificat d’autorité de certification racine DigiCert Global G2 au lieu du certificat d’autorité de certification racine Linux Cyber-Trust actuel comme étant approuvé pour le Cloud.
Pour plus d’informations sur la rubrique, consultez le blob de sécurité Azure officiel suivant :
Azure Storage TLS : Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.
Résolution
Pour que la transition vers les nouveaux certificats de sécurité Azure Storage soit aussi fluide que possible lorsque les modifications commencent à être envoyées en juillet 2022, il est nécessaire de conserver le certificat racine de confiance « Baltimore Cyber-Trust root CA » comme fiable pour le Cloud dans Data Domain, et d’ajouter le nouveau certificat « DigiCert Global G2 Root CA » également fiable pour le Cloud, plutôt que de remplacer l’un par un autre.
Le fait de conserver les deux certificats n’entraîne aucun problème et permet au système Data Domain DDVE de faire confiance aux connexions à Azure Storage, quel que soit le certificat présenté par l’une des AUTORITÉS, et ainsi d’éviter tout arrêt de service lorsque le nouveau certificat est présenté au système Data Domain/DDVE pour la première fois à partir de juillet 2022.
Les étapes suivantes s’appliquent à la prise en charge du certificat racine DigiCert Global G2 pour les systèmes Data Domain configurés avec Cloud Tier ou DDVE déployé sur une plate-forme Azure Cloud avec ATOS. Il est également recommandé d’ajouter un certificat racine DigiCert Global G3 et un certificat d’autorité de certification racine Microsoft ECC ou RSA afin d’éviter les interruptions futures.
Assurez-vous que le système Data Domain DDVE possède « Baltimore Cyber-Trust Root » pour l’application Cloud, conformément à l’exemple suivant :
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
OPTION 1 : Instructions d’installation du certificat à l’aide d’une station
de travail Microsoft Windows Pour une démonstration, cliquez sur la vidéo ci-dessous :
Regardez la vidéo sur YouTube.
-
Créez un dossier sur votre station de travail locale.
Par exemple :
C:\MS-AZ-certificates -
Téléchargez les certificats DigiCert Global Root G2/G3 à partir de la page suivante :
DigiCert Root Certificates - Download & Test | DigiCert.comCliquez avec le bouton droit de la souris sur Download PEM (Télécharger le module PEM) et enregistrez le lien comme suit :
DigiCertGlobalRootG2.crt.pem
SHA1 Empreinte digitale : DF :3C :24 :F9 :BF :D6 :66 :76 :1B :26 :80 :73 :FE :06 :D1 :CC :8D :4F :82 :A4DigiCertGlobalRootG3.crt.pem
SHA1 Empreinte digitale : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Téléchargez les certificats Microsoft RSA et ECC.
Cliquez avec le bouton droit de la souris sur Download PEM (Télécharger le module PEM) et enregistrez le lien comme suit :
Microsoft RSA Root Certificate Authority 2017
(Empreinte : 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Autorité de certification racine Microsoft ECC 2017
(Empreinte : 999a64c37ff47d9fab95f14769891460eec4c3c5) -
Accédez à la ligne de commande et exécutez les étapes ci-dessous. Ces commandes doivent être exécutées à partir d’un hôte Windows, mais des commandes similaires peuvent être utilisées à partir d’un hôte Linux.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
Renommez les fichiers DigiCertGlobalRootG2 comme suit avec .pem.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Convertissez le certificat d’autorité de certification racine Microsoft ECC RSA du format crt au format pem, comme suit :
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
Importez tous les fichiers de certificat au format PEM à partir du dossier, à l’aide de l’interface utilisateur de PowerProtect DD System Manager.
- Pour un système Data Domain configuré avec Cloud Tier :
Gestion des données -> Système de fichiers -> Unités cloud -> Gérer les certificats -> Ajouter.
Répétez les étapes ci-dessus pour les trois certificats restants. - Pour un système Data Domain exécuté sur la plate-forme Azure avec ATOS :
Gestion des données -> Système de fichiers -> Récapitulatif -> Modifier la zone de stockage d’objets -> CERTIFICAT -> Ajouter.
Répétez les étapes ci-dessus pour les trois certificats restants.Remarque : n’ajoutez pas de nouveaux certificats d’autorité de certification sous Access Management.
- Pour un système Data Domain configuré avec Cloud Tier :
OPTION 2 : Instructions d’installation du certificat à l’aide d’une station de travail Linux
-
Téléchargez les deux certificats DigiCert suivants au format .pem.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Empreinte sha1 : DF :3C :24 :F9 :BF :D6 :66 :76 :1B :26 :80 :73 :FE :06 :D1 :CC :8D :4F :82 :A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Empreinte sha1 : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Téléchargez les deux certificats racine suivants au format DER CRT.
Microsoft RSA Root Certificate Authority 2017
(Empreinte : 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Autorité de certification racine Microsoft ECC 2017
(Empreinte : 999a64c37ff47d9fab95f14769891460eec4c3c5)Exemple :
Téléchargement de certificats à l’aide de l’utilitaire Linux wget :
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
Convertissez deux certificats racine au format .pem à l’aide des commandes ci-dessous.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Copiez les fichiers de certificat.pem sur le système Data Domain.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
Installez le certificat comme suit :
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
Vérifiez les nouvelles informations de certificat à partir de la ligne de commande DD DDVE :
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
Si l’un des certificats a été ajouté accidentellement pour une « application » autre que « cloud », supprimez-le du certificat de l’autorité de certification sous l’interface utilisateur de gestion des accès.
Remarque : Ne supprimez pas l’ancien certificat « Baltimore Cyber-Trust Root ».
Pour un système Data Domain configuré avec un système de fichiers Cloud Tier, un redémarrage peut être nécessaire pour rétablir la connexion avec les unités de Cloud. Organisez une interruption de service et exécutez la commande suivante pour redémarrer le système de fichiers :#filesys restart
Pour un système Data Domain exécuté sur la plate-forme Azure, redémarrez DDVE :#system reboot