「Data Domain：https証明書の有効期限が切れているためWeb UIにアクセスできません

• あなたは見るかもしれません 404 HTTP 証明書の有効期限が切れた場合のエラーまたはその他のApache Webサービス:
  
• リソースが使用できないなど、その他のエラーが表示される場合があります。
• 一般に、UIにはアクセスできません。
• この問題は、UIでのユーザー ログインの失敗としても発生します。

ここで、 HTTPS またはData DomainでCA証明書の有効期限が切れると、Apache Webサーバーで問題が発生します。UIがダウンし、アクセスできなくなります。

このData DomainがIntegrated Data Protection ApplianceまたはCyber Recoveryヴォールト構成にある場合は、それらのシステムが証明書を使用してData Domainを監視する方法を検討します。証明書の有効期限が切れてから新しい証明書が追加された場合は、サポートが必要になることがあります

DLmはこれを必要とせず、これを使用しないため、これはDLmソリューションのData Domainに関する懸念事項ではありません HTTP or HTTPS Data Domainと通信するためのアクセス。Data Domain上の証明書の更新は、DLmテープ マウント処理を中断することなく実行できます。

1. かどうかを確認します HTTPS またはCA、または両方の証明書の有効期限が切れている場合:

sysadmin@DD6400# adminaccess certificate show
Subject                                              Type            Application   Valid From                 Valid Until                Fingerprint
--------------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport                                     host            https         Thu Sep 11 22:30:27 2025   Sun Oct 11 22:30:27 2026   30:89:8A:9D:BD:67:75:DC:D8:98:84:C6:CD:8F:9F:21:34:24:1B:87
DD6400.ddsupport                                     ca              trusted-ca    Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96

httpsホスト証明書は1年間有効で、CA証明書は6年間有効です。

2. 有効期限が切れていない場合は、次の問題が原因でUIがダウンしている可能性があります。

   1. 証明書が十分に古い場合、新しい証明書セキュリティ標準を満たさず、GUIは起動しません。以降の手順で、新しい証明書を生成する必要があります。

   2. 「Data Domain：DDOSまたはDDMC 7.1.x以降にアップグレードした後は、UIにアクセスできなくなります

   3. 「Data Domain：DDOSまたはDDMC 6.2.1.90、7.2.0.95、7.7.2.x以降にアップグレードした後、UIにアクセスできなくなります
3. CA証明書の有効期限が切れている場合は、確立されている信頼を確認します。

sysadmin@DD6400# adminaccess trust show
Subject                   Type         Valid From                 Valid Until                Fingerprint
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport          trusted-ca   Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
DDMCLAB-2.201             trusted-ca   Mon Jul 08 03:02:34 2024   Sun Jul 07 03:02:34 2030   E8:C1:79:5B:B4:2A:02:3A:55:4A:9A:52:AB:FC:D2:01:E7:7A:6C:CA
CorkDDMC.localdomain      trusted-ca   Tue Aug 06 04:29:41 2024   Mon Aug 05 04:29:41 2030   4B:29:2B:D3:DB:3E:62:16:98:D1:6C:36:4C:DF:2F:94:3C:A1:A8:27
DD6900-2.ddsupport.emea   trusted-ca   Sat Feb 03 20:49:25 2024   Fri Feb 01 20:49:25 2030   DC:95:CC:4A:F4:AC:58:58:5E:19:2D:05:F3:99:D9:86:14:32:7F:88
DD9900-HA-P0.ddsupport    trusted-ca   Sat Oct 05 05:08:35 2024   Fri Oct 04 05:08:35 2030   38:FD:E8:B6:C6:2F:30:42:17:93:73:F5:AE:25:3D:53:3E:F5:5C:C4
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------

現在のData Domainの証明書(ホスト名別)と、他のData DomainまたはPowerProtect DD Management Centerの証明書が表示されます。これらの信頼を再確立する必要がある場合、ユーザーは、新しいCA証明書を生成した後に再確立する信頼ペア内のData DomainまたはData Domain Management Centerのsysadminパスワードを要求します。一部の信頼は、古いレプリケーション コンテキストから古くなっている可能性があり、再度追加する必要はありません。

4. かどうかを確認します HTTPS 証明書は自己署名証明書であるか、ユーザーが認証局(CA)で署名している場合は次のようになります。

# adminaccess certificate show imported-host application https

このコマンドが何かを返した場合、ユーザーはCAを使用して外部で証明書に署名します。それ以外の場合、インポートされたホスト証明書がない場合、証明書は自己署名されます。

インポートされた証明書が有効で、有効期限が切れていない場合でも、自己署名証明書の有効期限が切れている場合は、次のいくつかの手順のように更新する必要があります。自己署名ホスト証明書は、DD UIがSMSサービスと内部的に通信するために内部的にも使用されます。 
 

5. ここで、 HTTPS 証明書が外部で署名されている場合は、新しい証明書署名要求(CSR)を生成します。ユーザーはこれをCAに渡して署名を依頼し、署名済み証明書をData Domainにインポートして戻します。記事「 Data Domain: 証明書署名要求を生成し、外部署名付き証明書を使用する方法。

   1. DDOSは、次のホスト証明書を1つサポートします。 HTTPSの詳細を確認してください。システムで自己署名を含むホスト証明書を使用していて、ユーザーが別のホスト証明書を使用する場合は、現在の証明書を削除してから新しい証明書を追加します。

      手順：

      1. を削除する前に、ブラウザー セッションからログアウトします。 HTTPS ホスト証明書。 
      2. CLIコマンドを実行して証明書を削除します

         adminaccess certificate delete imported-host-application https

6. CA証明書の有効期限が切れており、これがHAシステムの場合は、サポートと連携して証明書を修正する必要があります。それ以外の場合は、新しい HTTPS CA証明書を次のコマンドで作成します。

# adminaccess certificate generate self-signed-cert regenerate-ca

         生成後、 HTTPS 証明書は過去1か月で、CA証明書は過去1年です。これは仕様によるものです。

7. 証明書が自己署名で、 HTTPS 証明書の有効期限が切れており、これがHAシステムの場合は、KB:
   Data Domainに従ってください。HAシステムが縮退状態で実行されており、自己署名ホスト証明書の有効期限が切れています
   それ以外の場合は、新しい HTTPS 証明書を次のように指定します。

# adminaccess certificate generate self-signed-cert

生成後、 HTTPS 証明書は過去1か月のものであり、設計上1年間有効です。

8. CA証明書が再生成された場合、ユーザーは必要な信頼を再確立する必要があります。PowerProtect DD Management Centerでは、UIを使用してレプリケーションを構成する場合とモニタリングを行う際に信頼が必要です。その場合、ユーザーはそれが機能するために信頼を確立する必要があります。
9. 信頼を必要とするData DomainまたはData Domain Management Centerの場合は、このコマンドを実行して古い信頼を削除してから、現在のData Domainで新しい証明書を使用して信頼を再確立します(これにより、他のData DomainまたはData Domain Management Centerでsysadminパスワードが要求されます。ユーザーがすべてのData DomainまたはData Domain Management Centerを持っていることを確認するか、追加せずに廃止されたData DomainまたはData Domain Management Centerの信頼関係を削除します。コマンドを type mutual これを行うとき。

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

次に、次のコマンドを実行して、新しい信頼を確立します。

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

上記の例では、 add と del を、他のすべてのData DomainまたはData Domain Management Centerに対して順 番に実行します。

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

Data Domainが廃止されたため、ユーザーが信頼を再度追加してはならない場合:

# adminaccess trust del host dd690.dssupport.emea

10. 必要に応じて信頼が再確立されたら、UIサービスを再起動します。

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

注：バージョン 8.3 以降では、 HTTP はデフォルトで無効になっています。使用しない場合は、有効にする必要はありません。
HTTPS は、UI にアクセスするための推奨される安全な方法です。

11. これで、ユーザー インターフェイスにアクセスできるようになります。

このビデオは YouTubeでも視聴できます。