Data Domain：由于 https 证书过期，Web UI 无法访问

• 您可能会看到 404 HTTP 证书过期时的错误或其他 Apache Web 服务：
  
• 可能会出现其他错误，例如资源不可用。
• 通常情况下，UI 无法访问。
• 问题还表现为用户在 UI 上登录失败。

在 HTTPS 或 Data Domain 上的 CA 证书到期，这会导致 Apache Web 服务器出现问题。它会导致 UI 关闭并使其无法访问。

如果此 Data Domain 采用融合备份一体机或 Cyber Recovery 数据避风港存储区配置，请考虑这些系统如何使用证书监视 Data Domain。当证书过期，然后添加新证书时，可能需要支持。

这不是 DLm 解决方案中 Data Domain 的问题，因为 DLm 不需要或使用 HTTP or HTTPS 与 Data Domain 通信的访问权限。可以在不中断 DLm 磁带装载处理的情况下在 Data Domain 上执行证书更新。

1. 检查 HTTPS 或 CA 证书，或两个证书均已过期：

sysadmin@DD6400# adminaccess certificate show
Subject                                              Type            Application   Valid From                 Valid Until                Fingerprint
--------------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport                                     host            https         Thu Sep 11 22:30:27 2025   Sun Oct 11 22:30:27 2026   30:89:8A:9D:BD:67:75:DC:D8:98:84:C6:CD:8F:9F:21:34:24:1B:87
DD6400.ddsupport                                     ca              trusted-ca    Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96

https 主机证书的有效期为 1 年，CA 证书的有效期为 6 年。

2. 如果未过期，UI 可能会因以下问题而关闭：

   1. 如果证书足够旧，它将不符合新的证书安全标准，并且 GUI 将不会显示。我们需要生成新证书，就像在后续步骤中一样。

   2. Data Domain：升级到 DDOS 或 DDMC 7.1.x 或更高版本后，无法再访问 UI

   3. Data Domain：升级到 DDOS 或 DDMC 6.2.1.90、7.2.0.95 或 7.7.2.x 或更高版本后，无法再访问 UI
3. 如果 CA 证书已过期，请检查已建立的信任：

sysadmin@DD6400# adminaccess trust show
Subject                   Type         Valid From                 Valid Until                Fingerprint
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport          trusted-ca   Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
DDMCLAB-2.201             trusted-ca   Mon Jul 08 03:02:34 2024   Sun Jul 07 03:02:34 2030   E8:C1:79:5B:B4:2A:02:3A:55:4A:9A:52:AB:FC:D2:01:E7:7A:6C:CA
CorkDDMC.localdomain      trusted-ca   Tue Aug 06 04:29:41 2024   Mon Aug 05 04:29:41 2030   4B:29:2B:D3:DB:3E:62:16:98:D1:6C:36:4C:DF:2F:94:3C:A1:A8:27
DD6900-2.ddsupport.emea   trusted-ca   Sat Feb 03 20:49:25 2024   Fri Feb 01 20:49:25 2030   DC:95:CC:4A:F4:AC:58:58:5E:19:2D:05:F3:99:D9:86:14:32:7F:88
DD9900-HA-P0.ddsupport    trusted-ca   Sat Oct 05 05:08:35 2024   Fri Oct 04 05:08:35 2030   38:FD:E8:B6:C6:2F:30:42:17:93:73:F5:AE:25:3D:53:3E:F5:5C:C4
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------

您可以看到当前 Data Domain 的证书（按其主机名）以及其他 Data Domain 或 PowerProtect DD Management Center 的证书。如果必须重新建立这些信任，则用户需要在生成新的 CA 证书后重新建立信任对中任何 Data Domain 或 Data Domain Management Center 的 sysadmin 密码。某些信任可能因旧复制上下文而过时，不需要重新添加。

4. 检查 HTTPS cert 是自签名证书，或者如果用户使用证书颁发机构 （CA） 进行签名：

# adminaccess certificate show imported-host application https

如果此命令返回任何内容，用户将使用 CA 在外部签署证书。否则，如果没有导入的主机证书，则证书是自签名证书。

即使导入的证书有效且未过期，如果自签名证书已过期，也必须像接下来的几个步骤一样续订它。自签名主机证书也在内部用于 DD UI 与 SMS 服务内部通信。 
 

5. 如果 HTTPS 证书在外部签名，生成新的证书签名请求 （CSR）。用户将此证书传递给其 CA 进行签名，然后将签名证书导入回 Data Domain。遵循文章 Data Domain：如何生成证书签名请求和使用外部签名的证书。

   1. DDOS 支持一个用于以下项的主机证书： HTTPS。如果系统正在使用主机证书（包括自签名），并且用户想要使用其他主机证书，请在添加新证书之前删除当前证书。

      步骤：

      1. 在删除之前从浏览器会话中注销 HTTPS 主机证书。 
      2. 运行 CLI 命令以删除证书

         adminaccess certificate delete imported-host-application https

6. 如果 CA 证书已过期，并且这是 HA 系统，则需要联系支持人员来修复证书。否则，重新生成新的 HTTPS 和 CA cert 与以下命令：

# adminaccess certificate generate self-signed-cert regenerate-ca

         请注意，在生成之后，有效的开始日期 HTTPS cert 是过去一个月，CA 证书是过去一年，这是设计使然。

7. 如果证书是自签名的，并且只有 HTTPS 证书已过期，这是一个 HA 系统，请遵循以下知识库文章：
   Data Domain：HA 系统在降级状态下运行，自签名主机证书已过期
   否则，重新生成新的 HTTPS 证书：

# adminaccess certificate generate self-signed-cert

请注意，在生成之后，有效的开始日期 HTTPS 证书是过去的一个月，根据设计，有效期为 1 年。

8. 如果重新生成了 CA 证书，用户必须重新建立所需的任何信任。PowerProtect DD Management Center 需要信任来进行监视以及使用 UI 配置复制时。如果是这样，用户必须建立信任才能使其正常工作。
9. 对于任何需要信任的 Data Domain 或 Data Domain Management Center，请运行此命令以删除旧信任，然后使用当前 Data Domain 上的新证书重新建立信任（这需要其他 Data Domain 或 Data Domain Management Center 上的 sysadmin 密码。确保用户拥有所有 Data Domain 或 Data Domain Management Center，或者删除对已停用的任何 Data Domain 或 Data Domain Management Center 的信任，而不重新添加它们。使用该命令时不带 type mutual 执行此操作时。

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

然后运行此命令以建立新的信任：

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

在上面的示例中，请运行 add 和 del 对于所有其他 Data Domain 或 Data Domain Management Center 。

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

如果由于 Data Domain 已停用，用户不得重新添加信任：

# adminaccess trust del host dd690.dssupport.emea

10. 如果需要，重新建立信任后，重新启动 UI 服务：

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

提醒：从版本 8.3 及更高版本开始， HTTP 默认情况下处于禁用状态。如果未使用，则不需要启用它。
HTTPS 是访问 UI 的首选安全方法。

11. 用户界面现在应该可以访问了。

您也可以在 YouTube 上观看此视频。