Data Domain: Jak radzić sobie z nadchodzącymi zmianami certyfikatu Microsoft Azure Storage Transport Layer Security w systemach skonfigurowanych z warstwą chmury lub systemami wdrożonymi na platformie chmury Azure

W przypadku zmiany certyfikatu Azure Storage (począwszy od lipca 2022 r.) przed dodaniem nowych certyfikatów jako zaufanych dla chmury jednostka chmury przechodzi w stan rozłączenia dla systemu Data Domain skonfigurowanego z warstwą chmury na platformie Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Jeśli rozwiązanie Data Domain Virtual Edition (DDVE) jest wdrożone na platformie Azure z aktywną warstwą w pamięci masowej obiektów (ATOS), system plików jest wyłączony z następującymi komunikatami alertów:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

Usługi Microsoft Azure Storage zostały tak zaktualizowane, aby używać certyfikatów TLS od instytucji certyfikacyjnych (CA), które obejmują łańcuch aż do katalogu głównego DigiCert Global G2. Jednak w międzyczasie nadal używane są bieżące certyfikaty (wydane przez root Cyber-Trust Cyber-Trust).

Zmiana ta ma obowiązywać od lipca 2022 r. i powinna zostać uzupełniona do końca października 2022 r. Zalecamy zainstalowanie nowego certyfikatu przed 30 czerwca 2022 r. i NIE USUWAJ bieżącego certyfikatu.

Aby uzyskać dostęp do kontenerów Blob (dla warstwy chmury domeny danych lub DDVE ATOS), systemy Data Domain wymagają nowego certyfikatu głównego urzędu certyfikacji DigiCert Global G2 zamiast bieżącego certyfikatu głównego urzędu certyfikacji Cyber-Trust jako zaufanego dla chmury.

Aby uzyskać więcej informacji na ten temat, zapoznaj się z następującym oficjalnym dziennikiem Azure security Blob:
Azure Storage TLS: Najważniejsze zmiany już prawie gotowe! (…i dlaczego warto się tym zainteresować) — Microsoft Tech Community.

Aby wprowadzenie nowych certyfikatów zabezpieczeń Azure Storage było jak najsprawnego, gdy zmiany zaczną być wprowadzane w lipcu 2022 r., należy zachować zaufany certyfikat "Cyber-Trust root CA" jako zaufany dla chmury w Domenie danych, a także dodać nowy certyfikat "DigiCert Global G2 Root CA" jako zaufany dla chmury. zamiast zastępować je na inne.

Utrzymywanie obu certyfikatów nie powoduje żadnego problemu i pozwala systemowi Data Domain DDVE ufać połączeniom z pamięcią masową Azure niezależnie od certyfikatu wystawionego przez jedną z urzędów certyfikacji, co pozwala uniknąć przestojów, ponieważ nowy certyfikat jest prezentowany systemowi Data Domain/DDVE po raz pierwszy od lipca 2022 r.

Poniższe kroki mają zastosowanie do obsługi certyfikatu głównego DigiCert Global G2 dla systemów Data Domain, które są skonfigurowane z warstwą chmury lub DDVE wdrożoną na platformie Azure Cloud z ATOS. Zaleca się również dodanie głównego certyfikatu DigiCert Global G3 i certyfikatu głównego urzędu certyfikacji Microsoft ECC lub RSA, aby uniknąć przyszłych zakłóceń.

Potwierdź, że system Data Domain DDVE ma "Cyber-Trust Root" dla aplikacji chmurowej, zgodnie z poniższym przykładem:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPCJA 1: Instrukcje dotyczące instalowania certyfikatu za pomocą stacji roboczej
Microsoft Windows w celu pokazania, kliknij poniższy film:

Obejrzyj w serwisie YouTube.

1. Utwórz folder na lokalnej stacji roboczej.
   Oto przykład:
   C:\MS-AZ-certificaty

2. Pobierz certyfikaty DigiCert Global Root G2/G3 z następującej strony:
   DigiCert Root Certificates - Download & Test | DigiCert.com

   Kliknij prawym przyciskiem myszy pozycję Pobierz PEM i zapisz łącze jako:
   Odcisk palca SHA1 DigiCertGlobalRootG2.crt.pem
   : DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   Odcisk palca SHA1 DigiCertGlobalRootG3.crt.pem
   : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Pobierz certyfikat Microsoft RSA i ECC.

   Kliknij prawym przyciskiem myszy pozycję Pobierz PEM i zapisz łącze jako:
   Główny urząd certyfikacji Microsoft RSA 2017
   (Odcisk palca: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Główny urząd certyfikacji Microsoft ECC 2017
   (Odcisk palca: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Przejdź do wiersza poleceń i wykonaj poniższe czynności. Są one uruchamiane z hosta Windows, jednak podobne polecenia mogą być uruchamiane z hosta Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Zmień nazwę plików DigiCertGlobalRootG2 w następujący sposób z rozszerzeniem .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Przekonwertuj certyfikat głównej instytucji certyfikującej Microsoft ECC RSA z formatu crt na pem w następujący sposób:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Zaimportuj wszystkie pliki certyfikatów sformatowanych PEM z folderu za pomocą interfejsu użytkownika Programu PowerProtect DD System Manager.

   • W przypadku systemu Data Domain skonfigurowanego z warstwą chmury:
     Zarządzanie danymi —> system plików —> jednostki chmury —> zarządzanie certyfikatami —> dodawanie.
     
     
     
     Powtórz powyższe czynności dla pozostałych trzech certyfikatów.
   • W przypadku systemu Data Domain działającego na platformie Azure z ATOS:
     Zarządzanie danymi —> System plików —> Podsumowanie —> Modyfikacja magazynu obiektów —> CERTYFIKAT —> Dodaj.
     
     
     Powtórz powyższe czynności dla pozostałych trzech certyfikatów.

      

     Uwaga: Nie należy dodawać nowych certyfikatów instytucji certyfikującej w obszarze zarządzania dostępem.

OPCJA 2: Instrukcje dotyczące instalowania certyfikatu za pomocą stacji roboczej Linux

1. Pobierz następujące dwa certyfikaty DigiCert w formacie .pem.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Odcisk palca SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Odcisk palca SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Pobierz następujące dwa certyfikaty główne w formacie CRT.

   Główny urząd certyfikacji Microsoft RSA 2017
   (Odcisk palca: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

    

   Główny urząd certyfikacji Microsoft ECC 2017
   (Odcisk palca: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Przykład:
   Pobieranie certyfikatów za pomocą narzędzia Linux wget:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Zamień dwa główne certyfikaty na format .pem przy użyciu poniższych poleceń.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Skopiuj pliki certyfikatu .pem w systemie Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Zainstaluj certyfikat w następujący sposób:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Sprawdź nowe informacje o certyfikatach w wierszu poleceń DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Jeśli którykolwiek z certyfikatów został przypadkowo dodany do "aplikacji" innej niż "chmura", usuń ją z certyfikatu urzędu certyfikacji w interfejsie użytkownika zarządzania dostępem.
   

   Uwaga: Nie usuwaj starego certyfikatu root "Cyber-Trust Root".

W przypadku systemu Data Domain skonfigurowanego z systemem plików warstwy chmury może być wymagane ponowne uruchomienie w celu nawiązania połączenia z jednostkami chmury. Ustal czas przestoju i uruchom następujące polecenie, aby ponownie uruchomić system plików:
#filesys restart

W przypadku systemu Data Domain działającego na platformie Azure uruchom ponownie DDVE:
#system reboot