Data Domain : Les certificats https auto-signés sont présentés à la place des certificats importés
Summary: Les versions récentes de Data Domain Operating System (DDOS) rencontrent un problème dans lequel Data Domain ne parvient pas à présenter un certificat HTTPS valide signé en externe. Par défaut, la valeur par défaut est auto-signée. Le système donne ensuite la priorité au certificat auto-signé par défaut. ...
Symptoms
Versions concernées :
- DD OS 8.3.1.20
- DD OS 8.6.0.0
- DD OS 7.13.1.60
Cause
Une clé d’enregistrement n’est pas définie correctement au cours du processus d’importation du certificat.
La clé d’enregistrement qui contrôle si DDOS utilise ou non un certificat externe est la suivante : config_master.comm.ext.selfsigned
Vous pouvez vérifier la valeur actuelle à partir de l’interface de ligne de commande Data Domain.
Par exemple :
sysadmin@dd# reg show config_master.comm.ext.selfsigned
config_master.comm.ext.selfsigned = false
Exemple de Data Domain avec certificats auto-signés (non importés) :
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------Dans cet exemple config_master.comm.ext.selfsigned devrait être TRUE.
Exemple de Data Domain avec certificats signés en externe (importés) :
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https* Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
dd.local.machine imported-host https Tue Jan 20 18:00:00 2026 Sun Feb 21 17:59:59 2027 99:14:66:93:51:22:E3:B0:52:3A:29:09:50:EE:C9:F1:EB:23:B4:76
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
Dans cet exemple config_master.comm.ext.selfsigned devrait être FALSE.
Resolution
Les paramètres de registre Data Domain corrects sont les suivants :
-
Si le certificat HTTPS auto-signé DD est utilisé, le
config_master.comm.ext.selfsigneddoit être définie sur TRUE. -
Si un certificat HTTPS signé en externe a été importé, alors
config_master.comm.ext.selfsigneddoit être défini sur FALSE.
Si votre configuration actuelle, telle qu’illustrée sur : adminaccess certificate show ne correspond pas à la registry value, ouvrez un ticket de support et consultez cet article.
Additional Information
https://jira.cec.lab.emc.com/browse/DDOSCFD-29328https://jira.cec.lab.emc.com/browse/DDOSCFD-29834