Data Domain: Certyfikaty https z podpisem własnym są przedstawiane zamiast zaimportowanych certyfikatów
Summary: W najnowszych wersjach systemu operacyjnego Data Domain (DDOS) występuje problem polegający na tym, że system Data Domain nie może przedstawić prawidłowego certyfikatu HTTPS podpisanego zewnętrznie. Zamiast tego domyślnie jest to podpis własny. Następnie system nadaje priorytet domyślnemu certyfikatowi z podpisem własnym. ...
Symptoms
Wersje, których dotyczy alert:
- DDOS 8.3.1.20
- DDOS 8.6.0.0
- DDOS 7.13.1.60
Cause
Klucz rejestracyjny nie jest poprawnie ustawiany podczas procesu importowania certyfikatu.
Klucz rejestracji, który określa, czy DDOS używa zewnętrznego certyfikatu, czy nie, to: config_master.comm.ext.selfsigned
Bieżącą wartość można sprawdzić w interfejsie wiersza polecenia Data Domain.
Na przykład:
sysadmin@dd# reg show config_master.comm.ext.selfsigned
config_master.comm.ext.selfsigned = false
Przykład systemu Data Domain z certyfikatami z podpisem własnym (niezaimportowanych):
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
-------------------- ---- ----------- ------------------------ ------------------------ -----------------------------------------------------------W tym przykładzie config_master.comm.ext.selfsigned powinny być TRUE.
Przykład systemu Data Domain z certyfikatami podpisanymi zewnętrznie (importowanymi):
sysadmin@dd# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
dd.local.machine host https* Tue Jan 20 12:29:48 2026 Sat Feb 20 12:29:48 2027 80:91:75:9B:E2:B1:21:6F:FD:1D:47:E3:A2:C5:9D:99:F7:BD:AB:4A
dd.local.machine ca trusted-ca Thu Feb 20 12:29:48 2025 Wed Feb 19 12:29:48 2031 B6:19:D5:E3:F5:15:FB:B0:39:80:33:F9:A9:86:BE:93:DB:D7:CA:B0
dd.local.machine imported-host https Tue Jan 20 18:00:00 2026 Sun Feb 21 17:59:59 2027 99:14:66:93:51:22:E3:B0:52:3A:29:09:50:EE:C9:F1:EB:23:B4:76
-------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
W tym przykładzie config_master.comm.ext.selfsigned powinny być FALSE.
Resolution
Prawidłowe ustawienia rejestru Data Domain:
-
Jeśli używany jest certyfikat HTTPS z podpisem własnym DD ,
config_master.comm.ext.selfsignedwartość musi być ustawiona na TRUE. -
Jeśli zewnętrznie podpisany certyfikat HTTPS został zaimportowany, wykonaj następujące czynności
config_master.comm.ext.selfsignedmusi być ustawiona na FALSE.
Jeśli bieżąca konfiguracja, jak pokazano na: adminaccess certificate show nie odpowiada parametrowi registry value, otwórz zgłoszenie pomocy technicznej i zapoznaj się z tym artykułem.
Additional Information
https://jira.cec.lab.emc.com/browse/DDOSCFD-29328https://jira.cec.lab.emc.com/browse/DDOSCFD-29834