Data Domain: Cloud Tier로 구성된 시스템 또는 Azure 클라우드 플랫폼에 배포된 시스템에 대해 향후 Microsoft Azure Storage Transport Layer Security 인증서 변경 사항을 처리하는 방법
Résumé: TLS(Transport Layer Security) 인증서 변경 사항이 ATOS(Active Tier on Object Storage)를 통해 Azure 클라우드 플랫폼에 구축된 DDVE(Data Domain Virtual Edition)와 클라우드 계층으로 구성된 Data Domain 시스템에 영향을 미칩니다. Dell EMC Data Domain은 중단을 방지하기 위해 새 인증서를 최대한 빨리 설치할 것을 권장합니다. ...
Symptômes
새 인증서가 클라우드에 대해 신뢰할 수 있는 것으로 추가되기 전에 Azure 스토리지 인증서가 변경된 경우(2022년 7월 시작) 클라우드 유닛이 Azure의 클라우드 계층으로 구성된 Data Domain 시스템에 대한 연결 해제 상태가 됩니다.
# alert show current Id Post Time Severity Class Object Message ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- m0-76 Mon Apr 19 15:34:03 2021 CRITICAL Cloud CloudUnit=azure-unit EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit. ----- ------------------------ -------- ----- ------------------------ ------------------------------------------------------------------------- There is 1 active alert. # cloud unit list Name Profile Status -------------- --------- ------------ azure-unit azure Disconnected -------------- --------- ------------
DDVE(Data Domain Virtual Edition)가 Azure with Active Tier on Object Storage(ATOS)에 구축된 경우 다음 알림 메시지와 함께 파일 시스템이 비활성화됩니다.
Alert History ------------- Id Post Time Clear Time Severity Class Object Message ----- ------------------------ ------------------------ -------- ----------------- ------ -------------------------------------------------------------------------------------- m0-26 Tue Apr 6 13:58:41 2021 Tue Apr 6 13:59:03 2021 ERROR Filesystem EVT-FILESYS-00008: Filesystem has encountered an error and is restarting. m0-27 Tue Apr 6 14:19:59 2021 Tue Apr 6 14:20:03 2021 ALERT Filesystem EVT-FILESYS-00002: Problem is preventing filesystem from
Cause
DigiCert Global G2 루트까지 연결된 CA(Certificate Authorities)의 TLS 인증서를 사용하도록 Microsoft Azure Storage Services가 업데이트되었습니다. 그러나 그 동안 현재 인증서(Baltimore Cyber-Trust root에서 발급)가 계속 사용되고 있습니다.
이 변경 사항은 2022년 7월부터 시작되며 2022년 10월 말에 완료될 예정입니다. 2022년 6월 30일 이전에 새 인증서를 설치하고 현재 인증서를 삭제하지 않는 것이 좋습니다.
Blob 컨테이너(Data Domain Cloud Tier 또는 DDVE ATOS의 경우)에 액세스하려면 Data Domain 시스템에 클라우드에 대한 신뢰할 수 있는 현재 Baltimore Cyber-Trust 루트 CA 인증서 대신 새로운 DigiCert 글로벌 G2 루트 CA 인증서가 필요합니다.
이 항목에 대한 자세한 내용은 다음 공식 Azure Security Blob:
Azure Storage TLS를 참조하십시오. 중요한 변경 사항은 대부분 여기에서 확인할 수 있습니다! (…관심을 기울여야 하는 이유) - Microsoft 기술 커뮤니티.
Résolution
변경 사항이 2022년 7월에 실행될 때 새 Azure Storage 보안 인증서로 최대한 원활하게 전환하려면 Data Domain의 클라우드에 대해 신뢰할 수 있는 "Baltimore Cyber-Trust root CA" 인증서를 유지하고 새로운 "DigiCert Global G2 Root CA" 인증서를 클라우드에 대한 신뢰도로 추가해야 합니다. 서로 교체하는 것이 아니라
두 인증서를 모두 유지하면 문제가 발생하지 않으며 Data Domain DDVE 시스템이 CAS 중 하나에서 발급한 인증서에 관계없이 Azure Storage에 대한 연결을 신뢰할 수 있으므로 2022년 7월부터 새 인증서가 Data Domain/DDVE 시스템에 처음으로 제공되므로 다운타임을 방지할 수 있습니다.
다음 단계는 Cloud Tier 또는 DDVE가 ATOS를 사용하여 Azure Cloud 플랫폼에 구축된 Data Domain 시스템에 대한 DigiCert 글로벌 G2 루트 인증서를 지원하는 데 적용됩니다. 또한 향후 중단을 방지하기 위해 DigiCert 글로벌 G3 루트 인증서와 Microsoft ECC 또는 RSA 루트 인증 기관 인증서를 추가하는 것이 좋습니다.
다음 예에 따라 Data Domain DDVE 시스템에 클라우드 애플리케이션에 대해 "Baltimore Cyber-Trust Root"가 있는지 확인합니다.
sysadmin@dd01# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
옵션 1: Microsoft Windows 워크스테이션
For a Demo를 사용하여 인증서를 설치하는 지침은 아래 비디오를 클릭합니다.
YouTube를 시청합니다.
-
로컬 워크스테이션에 폴더를 생성합니다.
예:
C:\MS-AZ-certificates -
다음 페이지에서 DigiCert Global 루트 G2/G3 인증서를 다운로드합니다.
DigiCert 루트 인증서 - 다운로드 및 테스트 | DigiCert.comPEM 다운로드를 마우스 오른쪽 버튼으로 클릭하고 링크를 다음과 같이 저장합니다.
DigiCertGlobalRootG2.crt.pem
SHA1 지문: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4DigiCertGlobalRootG3.crt.pem
SHA1 지문: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
Microsoft RSA 및 ECC 인증서를 다운로드합니다.
PEM 다운로드를 마우스 오른쪽 버튼으로 클릭하고 링크를 다음과 같이 저장합니다.
Microsoft RSA Root Certificate Authority 2017
(엄지손가락 지문: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC Root Certificate Authority 2017
(엄지손가락 지문: 999a64c37ff47d9fab95f14769891460eec4c3c5) -
명령줄로 이동하여 아래 단계를 실행합니다. 이러한 명령은 Windows 호스트에서 실행되지만 Linux 호스트에서도 비슷한 명령을 실행할 수 있습니다.
C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 09:30 AM <DIR> . 15/10/2021 09:30 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.crt.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.crt.pem 15/10/2021 09:30 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:30 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 4 File(s) 4,190 bytes
-
다음과 같이 .pem 을 사용하여 DigiCertGlobalRootG2 파일의 이름을 변경합니다.
C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem
-
다음과 같이 Microsoft ECC RSA 루트 인증 기관 인증서를 CRT에서 PEM 형식으로 변환합니다.
C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem Input Length = 605 Output Length = 890 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem Input Length = 1452 Output Length = 2054 CertUtil: -encode command completed successfully. C:\MS-AZ-certificates>dir Volume in drive C is OS Volume Serial Number is E4AE-2A04 Directory of C:\MS-AZ-certificates 15/10/2021 10:25 AM <DIR> . 15/10/2021 10:25 AM <DIR> .. 15/10/2021 09:29 AM 1,294 DigiCertGlobalRootG2.pem 15/10/2021 09:29 AM 839 DigiCertGlobalRootG3.pem 15/10/2021 09:46 AM 605 Microsoft ECC Root Certificate Authority 2017.crt 15/10/2021 09:45 AM 1,452 Microsoft RSA Root Certificate Authority 2017.crt 15/10/2021 10:25 AM 890 ms-ecc-root.pem 15/10/2021 10:25 AM 2,054 ms-rsa-root.pem 6 File(s) 7,134 bytes
-
PowerProtect DD System Manager UI를 사용하여 모든 PEM 형식의 인증서 파일을 폴더에서 가져옵니다.
- 클라우드 계층으로 구성된 Data Domain 시스템의 경우:
데이터 관리 -> 파일 시스템 -> 클라우드 유닛 -> 인증서 관리 -> 추가.
나머지 3개의 인증서에 대해 위 단계를 반복합니다. - Atos를 사용하는 Azure 플랫폼에서 실행되는 Data Domain 시스템의 경우:
Data Management -> File System -> Summary -> Modify Object Store -> CERTIFICATE -> Add.
나머지 3개의 인증서에 대해 위 단계를 반복합니다.참고: 액세스 관리 아래에 새 인증 기관 인증서를 추가하지 마십시오.
- 클라우드 계층으로 구성된 Data Domain 시스템의 경우:
옵션 2: Linux 워크스테이션을 사용하여 인증서를 설치하는 지침
-
다음 두 개의 DigiCert 인증서를 .pem 형식으로 다운로드합니다.
https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem SHA1 지문: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem SHA1 지문: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E -
다음 두 루트 인증서는 DER CRT 형식으로 다운로드합니다.
Microsoft RSA Root Certificate Authority 2017
(엄지손가락 지문: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)Microsoft ECC Root Certificate Authority 2017
(엄지손가락 지문: 999a64c37ff47d9fab95f14769891460eec4c3c5)예:
Linux wget 유틸리티를 사용하여 인증서 다운로드:
$ mkdir certs $ cd certs $ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem --2021-10-18 20:10:52-- https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem . . 2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294] $ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem --2021-10-18 20:32:21-- https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem . . 2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:44-- https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452] $ wget https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt --2021-10-18 20:31:16-- https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt . . 2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605] admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt
-
아래 명령을 사용하여 두 개의 루트 인증서를 .pem 형식으로 변환합니다.
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem admin@linux:~/certs$ ls -l total 155 -rw-rw-rw-. 1 admin admin 178 Oct 18 20:32 cert.list -rw-rw-rw-. 1 admin admin 1294 Dec 6 2017 DigiCertGlobalRootG2.crt.pem -rw-rw-rw-. 1 admin admin 839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem -rw-rw-rw-. 1 admin admin 605 Jan 22 2020 Microsoft ECC Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 1452 Jan 22 2020 Microsoft RSA Root Certificate Authority 2017.crt -rw-rw-rw-. 1 admin admin 875 Oct 18 2021 ms-ecc-root.pem -rw-rw-rw-. 1 admin admin 2021 Oct 18 2021 ms-rsa-root.pem
-
Data Domain 시스템에서 .pem 인증서 파일을 복사합니다.
admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/ DigiCertGlobalRootG2.crt.pem 100% 1294 13.6KB/s 00:00 DigiCertGlobalRootG3.crt.pem 100% 839 8.8KB/s 00:00 ms-ecc-root.pem 100% 875 9.2KB/s 00:00 ms-rsa-root.pem 100% 2021 21.2KB/s 00:00
-
다음과 같이 인증서를 설치합니다.
adminaccess certificate import ca application cloud file <file-name> Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.
admin@linux:~/certs$ ssh sysadmin@dd01.example.com
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem The SHA1 fingerprint for the imported CA certificate is: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem The SHA1 fingerprint for the imported CA certificate is: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem The SHA1 fingerprint for the imported CA certificate is: 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud". sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem The SHA1 fingerprint for the imported CA certificate is: 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74 Do you want to import this certificate? (yes|no) [yes]: y CA certificate imported for application(s) : "cloud".
-
DD DDVE 명령줄에서 새 인증서 정보를 확인합니다.
sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject Type Application Valid From Valid Until Fingerprint
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd01.example.com host https Tue Mar 26 10:38:34 2019 Wed Jan 31 10:48:38 2024 30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com ca trusted-ca Wed Mar 27 17:38:34 2019 Wed Jan 31 10:16:38 2024 CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root imported-ca cloud Fri May 12 11:46:00 2000 Mon May 12 16:59:00 2025 D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3 imported-ca cloud Thu Aug 1 05:00:00 2013 Fri Jan 15 04:00:00 2038 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 15:06:45 2019 Fri Jul 18 16:16:04 2042 99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017 imported-ca cloud Wed Dec 18 14:51:22 2019 Fri Jul 18 16:00:23 2042 73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
--------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
-
"클라우드" 이외의 "애플리케이션"에 실수로 인증서가 추가된 경우 액세스 관리 UI의 인증 기관 인증서에서 인증서를 삭제합니다.
참고: 이전 "Baltimore Cyber-Trust Root" 인증서를 삭제하지 마십시오.
Cloud Tier 파일 시스템으로 구성된 Data Domain 시스템의 경우 Cloud Units와의 연결을 다시 설정하려면 재시작해야 할 수 있습니다. 다운타임을 준비하고 다음 명령을 실행하여 파일 시스템을 재시작합니다.#filesys restart
Azure 플랫폼에서 실행 중인 Data Domain 시스템의 경우 DDVE를 재부팅합니다.#system reboot