Data Domain：Web UI 因 https 憑證過期而無法存取

• 您可能會看到 404 HTTP 憑證到期時發生錯誤或其他 Apache Web 服務：
  
• 可能會出現其他錯誤，例如資源無法使用。
• 通常，UI 是不可訪問的。
• 問題也會顯示為使用者在 UI 上登入失敗。

當 HTTPS 或 Data Domain 上的 CA 憑證到期，這會導致 Apache Web 伺服器發生問題。這會使UI關閉並使其無法訪問。

如果此 Data Domain 位於整合式 Data Protection Appliance 或 Cyber Recovery 存放庫組態中，請考慮這些系統如何使用憑證監控 Data Domain。憑證到期並新增憑證後，可能需要支援。

不需要擔心 DLm 解決方案中的 Data Domains，因為 DLm 不需要也不使用 HTTP or HTTPS 與 Data Domain 通訊的權限。Data Domain 上的憑證更新可在不中斷 DLm 磁帶掛載程序的情況下執行。

1. 檢查是否 HTTPS 或 CA，或兩個憑證都已過期：

sysadmin@DD6400# adminaccess certificate show
Subject                                              Type            Application   Valid From                 Valid Until                Fingerprint
--------------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport                                     host            https         Thu Sep 11 22:30:27 2025   Sun Oct 11 22:30:27 2026   30:89:8A:9D:BD:67:75:DC:D8:98:84:C6:CD:8F:9F:21:34:24:1B:87
DD6400.ddsupport                                     ca              trusted-ca    Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96

HTTPs 主機憑證的有效期為 1 年，CA 憑證的有效期為 6 年。

2. 如果未過期，UI 可能會因為以下問題而關閉：

   1. 如果證書足夠舊，它將不符合新的證書安全標準，並且不會出現 GUI。我們需要依照後續步驟產生新憑證。

   2. Data Domain：升級至 DDOS 或 DDMC 7.1.x 或更新版本後，無法再存取 UI

   3. Data Domain：升級至 DDOS 或 DDMC 6.2.1.90、7.2.0.95、7.7.2.x 或更新版本後，無法再存取 UI
3. 如果 CA 憑證已過期，請檢查已建立的信任：

sysadmin@DD6400# adminaccess trust show
Subject                   Type         Valid From                 Valid Until                Fingerprint
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------
DD6400.ddsupport          trusted-ca   Tue Oct 08 07:42:22 2024   Mon Oct 07 07:42:22 2030   81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
DDMCLAB-2.201             trusted-ca   Mon Jul 08 03:02:34 2024   Sun Jul 07 03:02:34 2030   E8:C1:79:5B:B4:2A:02:3A:55:4A:9A:52:AB:FC:D2:01:E7:7A:6C:CA
CorkDDMC.localdomain      trusted-ca   Tue Aug 06 04:29:41 2024   Mon Aug 05 04:29:41 2030   4B:29:2B:D3:DB:3E:62:16:98:D1:6C:36:4C:DF:2F:94:3C:A1:A8:27
DD6900-2.ddsupport.emea   trusted-ca   Sat Feb 03 20:49:25 2024   Fri Feb 01 20:49:25 2030   DC:95:CC:4A:F4:AC:58:58:5E:19:2D:05:F3:99:D9:86:14:32:7F:88
DD9900-HA-P0.ddsupport    trusted-ca   Sat Oct 05 05:08:35 2024   Fri Oct 04 05:08:35 2030   38:FD:E8:B6:C6:2F:30:42:17:93:73:F5:AE:25:3D:53:3E:F5:5C:C4
-----------------------   ----------   ------------------------   ------------------------   -----------------------------------------------------------

您會看到目前 Data Domain 的憑證 （按其主機名稱），以及其他 Data Domain 或 PowerProtect DD Management Center 的憑證。如果必須重新建立這些信任，則使用者需要在產生新的 CA 憑證後，為信任配對中的任何 Data Domain 或 Data Domain Management Center 提供 sysadmin 密碼。某些信任可能已從舊的複製上下文中過時，不需要重新添加。

4. 檢查是否 HTTPS 憑證是自我簽署憑證，或者如果使用者使用認證機構 （CA） 簽署憑證：

# adminaccess certificate show imported-host application https

如果此命令返回任何內容，則使用者使用 CA 對證書進行外部簽名。如果沒有匯入的主機憑證，則代表憑證為自我簽署。

即使匯入的憑證有效且未過期，如果自我簽署憑證已到期，您仍須按照接下來的幾個步驟續約。DD UI 內部也會使用自我簽署主機憑證，以在內部與 SMS 服務通訊。 
 

5. 如果 HTTPS 憑證已在外部簽署，請產生新的憑證簽署要求 （CSR）。使用者會將此資訊傳送到其 CA 進行簽署，然後將已簽署的憑證匯入回 Data Domain。請遵循文章 Data Domain：如何產生憑證簽署要求和使用外部簽署憑證。

   1. DDOS 支援一個主機憑證可用於 HTTPS。如果系統使用的是包含自簽名的主機證書，並且使用者想要使用其他主機證書，請先刪除當前證書，然後再添加新證書。

      步驟：

      1. 在刪除 HTTPS 主機證書。 
      2. 執行命令行介面 （CLI） 命令以刪除憑證

         adminaccess certificate delete imported-host-application https

6. 如果 CA 憑證已過期，且這是 HA 系統，則需要聯絡支援以修正憑證。否則，請重新產生新的 HTTPS 和使用此命令的 CA 憑證：

# adminaccess certificate generate self-signed-cert regenerate-ca

         請注意，生成後，有效的開始日期為 HTTPS 憑證是過去一個月，CA 憑證是過去一年，這是設計使然。

7. 如果憑證為自我簽署，且只有 HTTPS 憑證已到期，且這是 HA 系統，請遵循此 KB：
   Data Domain：以降級狀態執行的 HA 系統，自我簽署主機憑證已過期
   否則，請重新產生新的 HTTPS 憑證：

# adminaccess certificate generate self-signed-cert

請注意，生成後，有效的開始日期為 HTTPS 證書是過去一個月的證書，有效期為 1 年，這是設計使然。

8. 如果重新生成 CA 證書，用戶必須重新建立所需的任何信任。PowerProtect DD Management Center 需要信任才能進行監控，以及何時使用 UI 設定複寫。如果是這樣，用戶必須建立信任才能正常工作。
9. 針對任何需要信任的 Data Domain 或 Data Domain Management Center，請執行此命令以刪除舊的信任，然後使用目前 Data Domain 上的新憑證重新建立信任 （這會要求其他 Data Domain 或 Data Domain Management Center 上的 sysadmin 密碼。請確定使用者擁有所有的 Data Domain 或 Data Domain Management Center，或刪除已解除代理的任何 Data Domain 或 Data Domain Management Center 的信任，而不加回。使用不帶 type mutual 執行此操作時。

# adminaccess trust del host <hostname of other DD/DDMC> type mutual

然後執行此命令以建立新的信任：

# adminaccess trust add host <hostname of other DD/DDMC> type mutual

對於上述範例，請執行 add 和 del 所有其他 Data Domain 或 Data Domain Management Center 依次發生。

# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual
# adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual

如果使用者因為 Data Domain 已解除代理而不得再次新增信任：

# adminaccess trust del host dd690.dssupport.emea

10. 重新建立信任後 （如有需要），請重新啟動 UI 服務：

# adminaccess disable http
# adminaccess disable https
# adminaccess enable https
# adminaccess enable http

注意：從版本 8.3 及更新版本開始， HTTP 預設為停用。如果未使用，則不需要啟用。
HTTPS 是訪問UI的首選和安全方法。

11. 使用者介面現在應該可以訪問。

您也可以在 YouTube上觀看此視頻。