Data Domain: Vengono presentati certificati https autofirmati anziché certificati importati
Summary: Le versioni recenti di Data Domain Operating System (DDOS) presentano un problema in cui Data Domain non riesce a presentare un certificato HTTPS valido firmato esternamente. Per impostazione predefinita, l'impostazione predefinita è autofirmata. Il sistema assegna quindi la priorità al certificato autofirmato predefinito. ...
Symptoms
Versioni interessate:
- DD OS 8.3.1.20
- DD OS 8.6.0.0
- DD OS 7.13.1.60
Cause
Una chiave di registrazione non viene impostata correttamente durante il processo di importazione del certificato.
La chiave di registrazione che controlla se DDOS utilizza o meno un certificato esterno è: config_master.comm.ext.selfsigned
È possibile controllare il valore corrente dall'interfaccia della riga di comando di Data Domain.
Ad esempio:
sysadmin@dd# reg show config_master.comm.ext.selfsigned
config_master.comm.ext.selfsigned = false
Esempio di Data Domain con certificati autofirmati (non importati):
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------In questo esempio config_master.comm.ext.selfsigned dovrebbe essere TRUE.
Esempio di Data Domain con certificati firmati esternamente (importati):
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https* Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
dd.local.machine imported-host https Tue Jan 20 18:00:00 2026 Sun Feb 21 17:59:59 2027 99:14:66:93:51:22:E3:B0:52:3A:29:09:50:EE:C9:F1:EB:23:B4:76
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
In questo esempio config_master.comm.ext.selfsigned dovrebbe essere FALSE.
Resolution
Le impostazioni corrette del registro di sistema Data Domain sono:
-
Se viene utilizzato il certificato HTTPS autofirmato DD , il
config_master.comm.ext.selfsigneddeve essere impostato su TRUE. -
Se è stato importato un certificato HTTPS firmato esternamente ,
config_master.comm.ext.selfsigneddeve essere impostato su FALSE.
Se la configurazione corrente, come mostrato su: adminaccess certificate show non corrisponde al registry value, aprire un ticket di supporto e fare riferimento a questo articolo.
Additional Information
https://jira.cec.lab.emc.com/browse/DDOSCFD-29328https://jira.cec.lab.emc.com/browse/DDOSCFD-29834