Data Domain:Cloud TierまたはAzureクラウド プラットフォームに導入されたシステムで構成されるシステムのMicrosoft Azure Storage Transport Layer Security証明書の今後の変更を処理する方法
Résumé: Transport Layer Security (TLS)証明書の変更は、クラウド階層およびData Domain Virtual Edition (DDVE)で構成されたData Domainシステムに影響を与えます。このDDVEは、Active Tier on Object Storage (ATOS)を使用してAzure Cloudプラットフォームに導入されたシステムです。 Dell EMC Data Domainでは、中断を回避するために、できるだけ早く新しい証明書をインストールすることを推奨しています。 ...
Symptômes
新しい証明書がクラウドで信頼済みとして追加される前にAzureストレージ証明書が変更された場合(2022年7月以降)、このクラウド ユニットはAzureのクラウド階層で構成されたData Domainシステムで切断状態になります。
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
DATA Domain Virtual Edition(DDVE)がATOS(オブジェクト ストレージ上のアクティブ階層)を使用してAzureに導入されている場合、ファイル システムは無効になり、次のアラート メッセージが表示されます。
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
Microsoft Azureストレージ サービスが、DigiCert Global G2ルートまでチェーン接続する認証局(CA)からのTLS証明書を使用するようにアップデートされました。ただし、それまでは現在の証明書(Baltimore Cyber-Trust rootによって発行)が引き続き使用されています。
この変更は2022年7月から開始され、2022年10月末までに完了する予定です。2022年6月30日より前に新しい証明書をインストールし、現在の証明書を削除しないことをお勧めします。
Blobコンテナー(Data Domain Cloud TierまたはDDVE ATOSのいずれか)にアクセスするには、Data Domainシステムで現在のBaltimore Cyber-TrustルートCA証明書ではなく、クラウドに対して信頼できる新しいDigiCert Global G2ルートCA証明書が必要です。
このトピックの詳細については、公式のAzureセキュリティBlob:
Azure Storage TLSを参照してください。Critical changes are almost here! (…and why you should care) - Microsoft Tech Community.」
Résolution
2022年7月に変更がプッシュされ始めたときに、新しいAzure Storageセキュリティ証明書への移行を可能な限りスムーズにするには、信頼できる「Baltimore Cyber-TrustルートCA」証明書をData Domainのクラウドに対して信頼できる状態に保ち、新しい「Dell Emc Global G2 Root CA」証明書をクラウドでも信頼できるものとして追加する必要があります。 置き換えるのではなく、
両方の証明書を保持しても問題はなく、いずれかのCAによって発行された証明書に関係なく、Data Domain DDVEシステムはAzureストレージへの接続を信頼できます。そのため、2022年7月から初めてData Domain/DDVEシステムに新しい証明書が提示されるため、ダウンタイムを回避できます。
次の手順は、AtOSを使用してAzure Cloudプラットフォームに導入されたCloud TierまたはDDVEで構成されたData DomainシステムのDigiCert Global G2ルート証明書をサポートするために適用されます。また、将来の中断を避けるために、GdCert Global G3ルート証明書とMicrosoft ECCまたはRSAルート認証局証明書を追加することをお勧めします。
次の例のように、Data Domain DDVEシステムにクラウド アプリケーションの「Baltimore Cyber-Trust Root」があることを確認します。
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
オプション1:Microsoft Windowsワークステーション
を使用して証明書をインストールする手順 デモについては、次のビデオをクリックしてください。
YouTubeで視聴する。
-
ローカル ワークステーションにフォルダーを作成します。
例:
C:\MS-AZ-certificates -
次のページから、DigiCert Global Root G2/G3をダウンロードします。
DigiCert Root Certificates - Download & Test | DigiCert.com[Download PEM]を右クリックし、リンクを次のように保存します。
[ 証明書GlobalRootG2.crt.pem
SHA1指紋 ]: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4[CertGlobalRootG3.crt.pem
SHA1 Fingerprint ]: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Microsoft RSAおよびECC証明書をダウンロードします。
[Download PEM]を右クリックし、リンクを次のように保存します。
Microsoft RSAルート認証局2017
(拇印: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECCルート認証局2017
(拇印: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
コマンド ラインに移動し、次の手順を実行します。これらはWindowsホストから実行されますが、Linuxホストから同様のコマンドを実行できます。
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
DigiCertGlobalRootG2ファイル名の後ろに.pemが付くように変更します。
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
Microsoft ECC RSAルート認証局の証明書を、次のようにcrt形式からpem形式に変換します。
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
PowerProtect DD System Manager UIを使用して、PEM形式のすべての証明書ファイルを フォルダーからインポートします。
- クラウド階層で構成されたData Domainシステムの場合:
データ管理 -> ファイル システム -> クラウド ユニット -> 証明書の管理 -> 追加 。
残りの3つの証明書について、上記の手順を繰り返します。 - ATOSを使用してAzureプラットフォームで実行されているData Domainシステムの場合:
データ管理 -> ファイル システム -> サマリー -> オブジェクト ストアの変更 -> 証明書 -> 追加 。
残りの3つの証明書について、上記の手順を繰り返します。注:[Access Management]の下に新しい認証局の証明書を追加しないでください。
- クラウド階層で構成されたData Domainシステムの場合:
オプション2:Linuxワークステーションを使用した証明書のインストール手順
-
次の2つのPem証明書を.pem形式でダウンロードします。
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1フィンガープリント: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1フィンガープリント: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
DER CRT形式で、次の2つのルート証明書をダウンロードします。
Microsoft RSAルート認証局2017
(拇印: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECCルート認証局2017
(拇印: 999a64c37ff47d9fab95f14769891460eec4c3c5)Example:
Linux wgetユーティリティーを使用した証明書のダウンロード:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
次のコマンドを使用して、2つのルート証明書を.pem形式に変換します。
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Data Domainシステムに.pem証明書ファイルをコピーします。
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
次のように証明書をインストールします。
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
次のように、DD DDVEコマンド ラインから新しい証明書情報を確認します。
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
「クラウド」以外の「アプリケーション」に証明書が誤って追加された場合は、Access Management UIの証明機関の証明書から証明書を削除します。
注:古い「Baltimore Cyber-Trust Root」証明書は削除しないでください。
Cloud Tierファイル システムで構成されているData Domainシステムの場合、クラウド ユニットとの接続を再確立するために再起動が必要になる場合があります。ダウンタイムを調整し、次のコマンドを実行してファイル システムを再起動します。#filesys restart
Azure Platformで実行されているData Domainシステムの場合は、DDVEを再起動します。#system reboot