Data Domain: Selbstsignierte HTTPS-Zertifikate werden anstelle von importierten Zertifikaten angezeigt
Summary: Bei neueren DDOS-Versionen (Data Domain Operating System) ist ein Problem aufgetreten, bei dem Data Domain kein gültiges, extern signiertes HTTPS-Zertifikat vorlegt. Stattdessen wird standardmäßig "self-signed" verwendet. Das System priorisiert dann das standardmäßige selbstsignierte Zertifikat. ...
Symptoms
Betroffene Versionen:
- DDOS 8.3.1.20
- DDOS 8.6.0.0
- DDOS 7.13.1.60
Cause
Ein Registrierungsschlüssel wird während des Zertifikatimportvorgangs nicht korrekt festgelegt.
Der Registrierungsschlüssel, der steuert, ob DDOS ein externes Zertifikat verwendet oder nicht, lautet: config_master.comm.ext.selfsigned
Sie können den aktuellen Wert über die Data Domain-Befehlszeilenschnittstelle überprüfen.
Zum Beispiel:
sysadmin@dd# reg show config_master.comm.ext.selfsigned
config_master.comm.ext.selfsigned = false
Beispiel für Data Domain mit selbstsignierten Zertifikaten (nicht importiert):
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------In diesem Beispiel config_master.comm.ext.selfsigned sollte TRUE.
Beispiel für Data Domain mit extern signierten Zertifikaten (importiert):
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https* Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
dd.local.machine imported-host https Tue Jan 20 18:00:00 2026 Sun Feb 21 17:59:59 2027 99:14:66:93:51:22:E3:B0:52:3A:29:09:50:EE:C9:F1:EB:23:B4:76
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
In diesem Beispiel config_master.comm.ext.selfsigned sollte FALSE.
Resolution
Die korrekten Data Domain-Registrierungseinstellungen lauten:
-
Wenn das selbstsignierte DD-HTTPS-Zertifikat verwendet wird, wird das
config_master.comm.ext.selfsignedDer Wert muss auf TRUE festgelegt werden. -
Wenn ein extern signiertes HTTPS-Zertifikat importiert wurde, gilt Folgendes:
config_master.comm.ext.selfsignedmuss auf FALSE festgelegt werden.
Wenn Ihre aktuelle Konfiguration wie folgt lautet: adminaccess certificate show stimmt nicht mit dem registry value, öffnen Sie ein Supportticket und verweisen Sie auf diesen Artikel.
Additional Information
https://jira.cec.lab.emc.com/browse/DDOSCFD-29328https://jira.cec.lab.emc.com/browse/DDOSCFD-29834